Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Android is one of the most widespread operating system in mobile world and, thanks to its openness, it is the favourite target of malware developers. Its distribution model is based on marketplaces, which are online stores that collect applications available to users. Google Play is the official Android marketplace but there are dozens of stores that distribute Android applications. They have weak policies and checks and they are often found to distribute malware. This plethora of marketplaces, together with the increasing number of applications they distribute, is a great challenge for security researchers that study the phenomenon of Android malware, but it is also a problem for end users who want to download secure and trusted applications. In this context, I propose ADMIRE, short for Android Marketplaces & Developers Intelligence and Reputation Engine. First, it scraps multiple marketplaces searching malicious applications and it downloads them with their “metadata,” which include name of application, name of developer who publishes the application, number and score of reviews from users, screen shots, and number of downloads. Secondly, ADMIRE calculates a reputation score to marketplaces, which expresses their overall “goodness”. In the same way, ADMIRE attributes a score to malicious developers across marketplaces and classifies applications as trusted or dangerous. I implemented ADMIRE as an interactive web application, which offers an intelligence platform that presents to users statistics and aggregated data about marketplaces and developers using visualization tools. In addition to reputation scores it displays charts and indexes that characterize marketplaces, developers and applications, and allow an analyst to browse and explore this data. This work is the first in this area because no previous researches have ever tried to establish a ranking between marketplaces and developers using only applications metadata and it is the starting point of a new era about characterization of Android malware.

Viviamo in un momento storico in cui i dispositivi mobili sono alla base di tutto. Le persone ormai utilizzano smartphone e tablet in ogni attività quotidiana, non solo per cercare informazioni sulla rete. La crescente diffusione di questi dispositivi, insieme alle informazioni che essi custodiscono, richiama l'attenzione dei criminali informatici. Android e iOs sono i due sistemi operativi più diffusi al mondo e Android è il più studiato ma anche il più attaccato. Numerosi ricercatori stanno concentrando i loro studi sulla sicurezza di questo sistema operativo e spesso vengono scoperte vulnerabilità molto pericolose che possono danneggiare e mettere a rischio numerosi utenti. I dispositivi mobili sono così largamente diffusi grazie anche alla possibilità di espandere le loro funzionalità tramite l'utilizzo di applicazioni che vengono distribuite attraverso negozi online. Il più famoso e il più conosciuto tra questi è Google Play. Purtroppo non è l'unico ma esistono numerosi altri negozi che forniscono agli utenti applicazioni scaricabili e installabili sui propri dispositivi senza alcuna limitazione. Spesso, questi negozi alternativi sono fonte di applicazioni malevole che rischiano di infettare gli utenti che le scaricano. Il lavori dei ricercatori è quello di trovare un modo veloce ed efficace per difendere gli utenti da questi rischi. Esistono diverse tecniche in grado di analizzare applicazioni e di fornire informazioni sulla loro pericolosità, ma esse richiedono lunghe e complesse analisi che non sono adatte al numero elevato di applicazioni e di negozi esistenti. I ricercatori hanno così sviluppato metodi alternativi in grado di classificare un'applicazione come sicura o pericolosa analizzando le firme degli sviluppatori o i permessi che esse richiedono agli utenti prima di essere installate, però nessuno di essi si è mai concentrato sulle informazioni fornite dai negozi insieme alle applicazioni stesse. Queste informazioni, chiamate 'metadata' comprendono il nome dello sviluppatore, il nome dell'applicazione, il numero di recensioni e di download degli utenti, gli screen shot delle applicazioni e così via. AndRadar è stato il primo sistema in grado di cercare applicazioni Android pericolose su diversi negozi e di scaricarle insieme ai metadata che i negozi forniscono. AndRadar, però, non è in grado di analizzare i dati raccolti e di estrarre informazioni utili. Per questo motivo ho creato ADMIRE, un sistema che permette di assegnare una reputazione ai negozi e agli sviluppatori Android ed è rivolto sia agli utenti finali che agli analisti che si occupano di analizzare la diffusione delle applicazioni malevole. Gli utenti vogliono essere consapevoli dell'affidabilità delle applicazioni che scaricano, sia dal Google Play che dagli altri negozi. Gli analisti invece voglio studiare il comportamento degli sviluppatori e dei negozi che pubblicano le loro applicazioni. ADMIRE è in grado di valutare l'affidabilità dei negozi assegnandoli un punteggio che mostra quanto essi sono sicuri. Tale punteggio è ottenuto analizzando i metadata delle applicazioni che il negozio offre e il comportamento adottato dal negozio stesso quando le applicazioni vengono caricate. In questo modo sono in grado di stabilire una classifica dei negozi analizzati visualizzando quali sono i più sicuri per gli utenti. Oltre ai negozi, ADMIRE classifica anche gli sviluppatori delle applicazioni, analizzando la frequenza di pubblicazione e i negozi dove pubblicano. Infine, anche ciascuna applicazione scaricata viene classificata con un punteggio che certifica il grado di sicurezza. Oltre a questa serie di algoritmi in grado di classificare applicazioni, sviluppatori e negozi Android, ho implementato una piattaforma web che offre informazioni utili sia agli utenti finali che agli analisti, grazie a indici e statistiche che sintetizzano il comportamento dei negozi e degli sviluppatori. Per verificare l'efficacia di ADMIRE, l'ho valutato su un dataset di applicazioni molto grande che comprende, in data 10 Settembre 2015, quasi 200,000 applicazioni scaricate da 11 diversi negozi e pubblicate da oltre 26,000 sviluppatori. Dato che ADMIRE è il primo approcio di questo tipo, non ho informazioni sull'effettiva sicurezza dei negozi. Assumendo Google Play come il più sicuro, ho stilato una classifica dei negozi sulla base della loro affidabilità. Inoltre, ho verificato che il sistema è in grado di gestire una crescente quantità di dati da processare. Concludendo, ADMIRE è il primo sistema di intelligence in grado di valutare velocemente ed efficacemente la sicurezza dei negozi Android, l'affidabilità degli sviluppatori e delle applicazioni, grazie unicamente ai metadata forniti dai negozi stessi.

ADMIRE : Android developers & marketplaces intelligence and reputation engine

DANELLI, MATTEO
2014/2015

Abstract

Android is one of the most widespread operating system in mobile world and, thanks to its openness, it is the favourite target of malware developers. Its distribution model is based on marketplaces, which are online stores that collect applications available to users. Google Play is the official Android marketplace but there are dozens of stores that distribute Android applications. They have weak policies and checks and they are often found to distribute malware. This plethora of marketplaces, together with the increasing number of applications they distribute, is a great challenge for security researchers that study the phenomenon of Android malware, but it is also a problem for end users who want to download secure and trusted applications. In this context, I propose ADMIRE, short for Android Marketplaces & Developers Intelligence and Reputation Engine. First, it scraps multiple marketplaces searching malicious applications and it downloads them with their “metadata,” which include name of application, name of developer who publishes the application, number and score of reviews from users, screen shots, and number of downloads. Secondly, ADMIRE calculates a reputation score to marketplaces, which expresses their overall “goodness”. In the same way, ADMIRE attributes a score to malicious developers across marketplaces and classifies applications as trusted or dangerous. I implemented ADMIRE as an interactive web application, which offers an intelligence platform that presents to users statistics and aggregated data about marketplaces and developers using visualization tools. In addition to reputation scores it displays charts and indexes that characterize marketplaces, developers and applications, and allow an analyst to browse and explore this data. This work is the first in this area because no previous researches have ever tried to establish a ranking between marketplaces and developers using only applications metadata and it is the starting point of a new era about characterization of Android malware.
MAGGI, FEDERICO
ZANERO, STEFANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
30-set-2015
2014/2015
Viviamo in un momento storico in cui i dispositivi mobili sono alla base di tutto. Le persone ormai utilizzano smartphone e tablet in ogni attività quotidiana, non solo per cercare informazioni sulla rete. La crescente diffusione di questi dispositivi, insieme alle informazioni che essi custodiscono, richiama l'attenzione dei criminali informatici. Android e iOs sono i due sistemi operativi più diffusi al mondo e Android è il più studiato ma anche il più attaccato. Numerosi ricercatori stanno concentrando i loro studi sulla sicurezza di questo sistema operativo e spesso vengono scoperte vulnerabilità molto pericolose che possono danneggiare e mettere a rischio numerosi utenti. I dispositivi mobili sono così largamente diffusi grazie anche alla possibilità di espandere le loro funzionalità tramite l'utilizzo di applicazioni che vengono distribuite attraverso negozi online. Il più famoso e il più conosciuto tra questi è Google Play. Purtroppo non è l'unico ma esistono numerosi altri negozi che forniscono agli utenti applicazioni scaricabili e installabili sui propri dispositivi senza alcuna limitazione. Spesso, questi negozi alternativi sono fonte di applicazioni malevole che rischiano di infettare gli utenti che le scaricano. Il lavori dei ricercatori è quello di trovare un modo veloce ed efficace per difendere gli utenti da questi rischi. Esistono diverse tecniche in grado di analizzare applicazioni e di fornire informazioni sulla loro pericolosità, ma esse richiedono lunghe e complesse analisi che non sono adatte al numero elevato di applicazioni e di negozi esistenti. I ricercatori hanno così sviluppato metodi alternativi in grado di classificare un'applicazione come sicura o pericolosa analizzando le firme degli sviluppatori o i permessi che esse richiedono agli utenti prima di essere installate, però nessuno di essi si è mai concentrato sulle informazioni fornite dai negozi insieme alle applicazioni stesse. Queste informazioni, chiamate 'metadata' comprendono il nome dello sviluppatore, il nome dell'applicazione, il numero di recensioni e di download degli utenti, gli screen shot delle applicazioni e così via. AndRadar è stato il primo sistema in grado di cercare applicazioni Android pericolose su diversi negozi e di scaricarle insieme ai metadata che i negozi forniscono. AndRadar, però, non è in grado di analizzare i dati raccolti e di estrarre informazioni utili. Per questo motivo ho creato ADMIRE, un sistema che permette di assegnare una reputazione ai negozi e agli sviluppatori Android ed è rivolto sia agli utenti finali che agli analisti che si occupano di analizzare la diffusione delle applicazioni malevole. Gli utenti vogliono essere consapevoli dell'affidabilità delle applicazioni che scaricano, sia dal Google Play che dagli altri negozi. Gli analisti invece voglio studiare il comportamento degli sviluppatori e dei negozi che pubblicano le loro applicazioni. ADMIRE è in grado di valutare l'affidabilità dei negozi assegnandoli un punteggio che mostra quanto essi sono sicuri. Tale punteggio è ottenuto analizzando i metadata delle applicazioni che il negozio offre e il comportamento adottato dal negozio stesso quando le applicazioni vengono caricate. In questo modo sono in grado di stabilire una classifica dei negozi analizzati visualizzando quali sono i più sicuri per gli utenti. Oltre ai negozi, ADMIRE classifica anche gli sviluppatori delle applicazioni, analizzando la frequenza di pubblicazione e i negozi dove pubblicano. Infine, anche ciascuna applicazione scaricata viene classificata con un punteggio che certifica il grado di sicurezza. Oltre a questa serie di algoritmi in grado di classificare applicazioni, sviluppatori e negozi Android, ho implementato una piattaforma web che offre informazioni utili sia agli utenti finali che agli analisti, grazie a indici e statistiche che sintetizzano il comportamento dei negozi e degli sviluppatori. Per verificare l'efficacia di ADMIRE, l'ho valutato su un dataset di applicazioni molto grande che comprende, in data 10 Settembre 2015, quasi 200,000 applicazioni scaricate da 11 diversi negozi e pubblicate da oltre 26,000 sviluppatori. Dato che ADMIRE è il primo approcio di questo tipo, non ho informazioni sull'effettiva sicurezza dei negozi. Assumendo Google Play come il più sicuro, ho stilato una classifica dei negozi sulla base della loro affidabilità. Inoltre, ho verificato che il sistema è in grado di gestire una crescente quantità di dati da processare. Concludendo, ADMIRE è il primo sistema di intelligence in grado di valutare velocemente ed efficacemente la sicurezza dei negozi Android, l'affidabilità degli sviluppatori e delle applicazioni, grazie unicamente ai metadata forniti dai negozi stessi.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2015_10_Danelli.pdf

non accessibile

Descrizione: Thesis text
Dimensione 2.26 MB
Formato Adobe PDF
  Visualizza/Apri
2.26 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/112003