Embora os dispositivos m´oveis executem sistemas operacionais, comuniquem-se se- gundo a pilha de protocolos Transmission Control Protocol, em portuguˆes “Protocolo de Controlo de Transmiss˜ao”e o Internet Protocol, em portuguˆes “Protocolo de Inter- net”(TCP/IP), que ´e o conjunto de protocolos de comunica¸c˜ao entre dispositivos em rede, e acessem v´arios dos mesmos recursos que os computadores tradicionais, eles tamb´em tˆem seus pr´oprios recursos exclusivos, que acrescentam novos vetores de ataques e protocolos `
a mistura (Weidman,2014). Por este motivo, as op¸c˜oes de explora¸c˜ao de falhas, no caso dos dispositivos m´oveis s´o aumenta, visto que poder˜ao ser coletadas informa¸c˜oes locais do dispositivo. Tendo acesso a contatos ou Short Message Service (SMS) que forem recebi- das, dependendo do objetivo do invasor, os privil´egios podem ser alterados, o que pode vir a gerar um temor ainda maior. Desta brecha, h´a a possibilidade de ataque a outros
16 Cap´ıtulo 2. Levantamento bibliogr´afico
dispositivos que estejam conectados a uma Virtual Private Network (VPN) que o aparelho explorado.
2.3.1 Seguran¸ca em Android
Como j´a citado anteriormente na Se¸c˜ao2.3, a plataforma Android possui como base de toda a sua estrutura a organiza¸c˜ao do sistema operacional Linux, incluindo o Kernel, como mostrado na Figura2.4, Tal estrutura¸c˜ao tem impacto direto na seguran¸ca da plataforma, o que implica dizer que aplicativos s˜ao impedidos de acessar recursos, arquivos ou at´e a base de dados de outras aplica¸c˜oes.
Contudo, na camada superior do kernel, os servi¸cos do Android podem ser explorados, por exemplo, o processo que instala ou atualiza aplicativos (Guillaume Hiet,2019). Este processo, no Android, ´e bastante falho, visto que podem ser instalados aplicativos de fontes desconhecidas. Devido isso, n˜ao h´a controle dos certificados digitais usados para assinar aplicativos Android, e os aplicativos Android geralmente s˜ao auto-assinados e n˜ao podem ser rastreados para o desenvolvedor (Seacord,2015). Em fun¸c˜ao disso, fica f´acil a altera¸c˜ao de c´odigo, inser¸c˜ao de algo malicioso e compartilh´a-lo.
Six (2012) citou que a amea¸ca causada pelo acesso root em um dispositivo no qual seu aplicativo esteja sendo executado vai al´em da de um usu´ario realizando essa a¸c˜ao. Alguns dos malwares mais avan¸cados que visam aos dispositivos Android fazem uso de vulnerabilidades no n´ıvel do kernel para obter acesso como root. Por este motivo, estes malwares est˜ao livres para modificarem seu acesso e obterem informa¸c˜oes de grande parte das aplica¸c˜oes presentes nos dispositivos.
Com todos esses fatores, pode-se entender que os dispositivos est˜ao suscept´ıveis `a diversos tipos de ataques. Visando isso, aGoogle (2019e) elaborou as Tabelas 2.2 e 2.3
que mostram a porcentagem dos tipos de PHA’s que foram detectados em dispositivos. As imagens, mostram que mesmo com todos os artefatos utilizados pela Google e at´e mesmo pelo hardware encontrado nos aparelhos, nenhum est´a imune `a ataques externos. As taxas vistas em aplica¸c˜oes de fora da Google Play s˜ao de maior relevˆancia mas de justificativa por serem de fontes n˜ao conhecidas, vindas de qualquer parte.
Tabela 2.2: Taxa de Instala¸c˜ao de PHA da Google Play no Per´ıdo de Julho `a Setembro de 2019
Categoria Taxa de Instala¸c˜ao de PHA
DoS 0,10059669%
Spyware 0,04254252% Fraude Telefˆonica 0,014112836%
Phishing 0,0014049586% Cavalo de Troia 0,0010691937% Escalonamento de Privil´egios 0,0006981912% Backdoor 0,0004518898% Download Hostis 0,0003482942% Spam 0,0000380745% Spyware Comercial 0,0000287209% Malware do Windows 0,0000234364% Fraude de SMS 0,0000163002% Root 0,0000087742% Ransomeware 0,0000000033% Fraude de Chamada 0%
Fraude Telefˆonica 0,009698237% Root 0,0085315165% Backdoor 0,0074765165% Spyware 0,007352133% Phishing 0,0057274614% Spam 0,0042812793% Fraude de Chamada 0,0030539595% Escalonamento de Privil´egios 0,002285302%
Fraude de SMS 0,0013589009% Spyware Comercial 0,0004360971% Ransomeware 0,0002183715% Malware do Windows 0,0000015193%
2.3.2 T´ecnicas e Estrat´egias de Detec¸c˜ao de PHAs
Juntamente com o r´apido crescimento das conex˜oes de alta velocidade da internet a cria¸c˜ao de novos PHAs tamb´em se teve de forma significativa. Para isto, v´arias t´ecnicas podem ser utilizadas para a an´alise e detec¸c˜ao dos mesmos, as quais se dividem em dois tipos de solu¸c˜oes.
• An´alise Est´atica: neste tipo de an´alise, as informa¸c˜oes coletadas sobre o programa e o seu comportamento esperado, s˜ao feitas atrav´es de an´alises impl´ıcitas e expl´ıcitas em seu c´odigo fonte. Apesar de serem r´apidos e eficazes, se limitam principalmente pelo fato da utiliza¸c˜ao de m´etodos de ofusca¸c˜ao nos c´odigos. Isto, faz com que este tipo de an´alise seja incapaz de detectar malwares polim´orficos (que se alteram de um usu´ario invadido para outro).
• An´alise Dinˆamica: ou tamb´em conhecida com An´alise Baseada em Comportamento, consiste em coletar informa¸c˜oes durante o tempo de execu¸c˜ao, como chamadas que o sistema realiza, acesso `a rede e altera¸c˜oes de arquivos e mem´oria. Uma vez que a an´alise do programa ´e feita em tempo real, n˜ao h´a problemas em rela¸c˜ao `a m´etodos de ofusca¸c˜ao. Em contraponto a isto, ´e dif´ıcil simular as condi¸c˜oes apropriadas, nas quais as fun¸c˜oes maliciosas do programa ser˜ao ativadas (como o aplicativo vulner´avel que o malware explora). Segundo, n˜ao est´a claro qual ´e o per´ıodo de tempo necess´ario para observar a aparˆencia da atividade maliciosa de cada malware (Shabtai et al.,
2012).
Tais solu¸c˜oes s˜ao implementadas principalmente usando m´etodos de an´alise basea- dos em assinaturas e baseados em heur´ısticas. O m´etodo baseado em assinaturas, s˜ao comumente utilizados por fornecedores de antiv´ırus, dependendo principalmente da iden- tifica¸c˜ao de assinaturas exclusivas que definem o PHA. S˜ao in´uteis em rela¸c˜ao `a PHA desconhecidos. O m´etodo baseado em heur´ısticas, consiste na an´alise por meio de regras j´a determinadas por especialistas ou atrav´es do aprendizado de m´aquina. Isto definir´a o comportamento maligno ou benigno, afim de analisar e detectar PHA desconhecidos.
18 Cap´ıtulo 2. Levantamento bibliogr´afico
A an´alise est´atica visa determinar o PHA antes do tempo de execu¸c˜ao. Ele analisa os arquivos de origem e os classifica de acordo com as permiss˜oes e especifica¸c˜oes do sistema desejadas. As principais vantagens deste m´etodo s˜ao que ele ´e r´apido, possui baixos requisitos de recursos do sistema e bloqueia PHAs sem danificar o sistema. O ponto fraco do m´etodo ´e que ele ´e resistente apenas a m´etodos conhecidos e n˜ao pode impedir ataques de dia zero. Na an´alise dinˆamica, tenta-se impedir softwares maliciosos examinando os dados do tempo de execu¸c˜ao dos aplicativos. No entanto, o alto consumo de recursos e os recursos limitados de dispositivos m´oveis dificultam o uso do m´etodo em tais aparelhos em tempo real (S¸ahın et al.,2018).