RU2595511C2 - Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений - Google Patents

Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений Download PDF

Info

Publication number
RU2595511C2
RU2595511C2 RU2014148962/08A RU2014148962A RU2595511C2 RU 2595511 C2 RU2595511 C2 RU 2595511C2 RU 2014148962/08 A RU2014148962/08 A RU 2014148962/08A RU 2014148962 A RU2014148962 A RU 2014148962A RU 2595511 C2 RU2595511 C2 RU 2595511C2
Authority
RU
Russia
Prior art keywords
application
applications
data
trusted
suspicious
Prior art date
Application number
RU2014148962/08A
Other languages
English (en)
Other versions
RU2014148962A (ru
Inventor
Виктор Владимирович Яблоков
Константин Михайлович Филатов
Евгений Юрьевич Елисеев
Роман Сергеевич Унучек
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014148962/08A priority Critical patent/RU2595511C2/ru
Priority to US14/623,901 priority patent/US9183383B1/en
Priority to EP15158982.7A priority patent/EP3029593B1/en
Publication of RU2014148962A publication Critical patent/RU2014148962A/ru
Application granted granted Critical
Publication of RU2595511C2 publication Critical patent/RU2595511C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/16Protection against loss of memory contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/031Protect user input by software means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/66Trust-dependent, e.g. using trust scores or trust relationships

Abstract

Изобретение относится к компьютерной безопасности. Технический результат заключается в повышении безопасности обработки защищаемой информации. Система ограничения работы доверенных приложений при наличии подозрительных приложений содержит средство анализа для сбора данных об установленных приложениях; определения среди установленных приложений доверенного приложения, в результате работы которого формируется защищаемая информация; средство определения для эмуляции работы установленных приложений в искусственной среде, обнаружения по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, сформированную в результате работы доверенного приложения; базу данных правил; средство блокирования для ограничения работы доверенного приложения, в результате работы которого формируется защищаемая информация, при обнаружении подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, сформированную в результате работы доверенного приложения, выработки перечня действий, которые необходимо выполнить, чтобы снять ограничение с доверенного приложения. 2 н.п. ф-лы, 3 ил., 1 табл.

Description

Область техники
Изобретение относится к области антивирусной безопасности, а именно к системам и способам ограничения работы приложений.
Уровень техники
Возрастающая популярность использования мобильных телефонов в повседневной жизни побуждает разработчиков создавать приложения для обработки информации, в том числе и персональных данных пользователей. Подобные тенденции приводят к тому, что функционал вредоносных приложений часто бывает направлен на хищение персональных данных. Информация о совершенных покупках, личные контакты, SMS-сообщения, фотографии, видеозаписи, документы и т.д. являются персональными данными и могут быть украдены и использованы без ведома их владельца.
Антивирусная программа позволяет анализировать, останавливать и удалять вредоносные приложения. При этом антивирусная программа по ряду причин не может полностью обеспечить защиту и предотвратить хищение персональных данных. Примером может быть ситуация, когда мобильное приложение, которое на настоящий момент проверено антивирусной программой, и не является вредоносным, имеет, например, разрешение на чтение SMS-сообщений (контактов, почты, фотографий, видеозаписей и др.). В этом случае требуется использовать другие более эффективные способы защиты информации.
Чтение SMS-сообщений или контактов приложением не является хищением персональных данных, но обработка и передача информации о контактах могут привести к их хищению. Например, при установке приложений для ОС Android всегда отображается список разрешений, который необходимо принять, чтобы установить приложение. Приложение, например, может требовать разрешения включить себя в список получателей входящих SMS-сообщений. После принятия пользователем списка разрешений и последующей установки приложение будет получать входящие SMS-сообщения. В одном случае приложением может быть видоизмененный и доработанный менеджер сообщений, который позволяет сократить время поиска требуемых пользователю сообщений. В другом случае приложение может среди всех входящих сообщений искать и использовать в своих целях SMS-сообщения, которые содержат одноразовый пароль для совершения финансовой операции (троян Zeus-in-the-mobile).
Таким образом, возникает ситуация, когда есть информация о том, что приложение может быть потенциально опасным, но нет возможности подтвердить или опровергнуть факт хищения персональных данных со стороны приложения.
В настоящее время существует ряд решений, предназначенных для ограничения использования потенциально опасных приложений. В публикации US 20140128047 A1 описан алгоритм, который блокирует работу приложения на основе различных параметров. Среди параметров может быть наличие пользовательских настроек или предпочтений по отношению к каким-либо сервисам и услугам или их комбинации. Проблему потенциально опасных приложений данный подход не решает. В публикации US 20120255021 A1 описан алгоритм определения и блокирования вредоносного приложения на основании его воздействия на агента безопасности операционной системы. Проблему потенциально опасных приложений данных подход не решает.
Указанные решения предлагают лишь ограничить действие потенциально опасных приложений. Настоящее изобретение позволяет более эффективно решить задачу защиты от хищения данных при наличии потенциально опасных приложений.
Раскрытие изобретения
Изобретение относится к системам и способам ограничения работы приложений. Технический результат настоящего изобретения заключается в повышении безопасности обработки защищаемой информации. Указанный технический результат достигается за счет ограничения работы приложения, в результате работы которого формируется защищаемая информация при обнаружении по крайней мере одного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию.
Система ограничения работы доверенных приложений при наличии подозрительных приложений, которая содержит: средство анализа, предназначенное для определения среди установленных приложений доверенного приложения, в результате работы которого формируется защищаемая информация, сбора данных об установленных приложениях, передачи данных о доверенном приложении и установленных приложениях средству определения; средство определения, предназначенное для обнаружения по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, на основании данных о доверенном приложении и установленных приложениях с применением правил обнаружения подозрительных приложений, передачи результата обнаружения средству ограничения; базу данных правил, предназначенную для хранения правил обнаружения подозрительных приложений; средство блокирования, предназначенное для ограничения работы доверенного приложения, в результате работы которого формируется защищаемая информация, при обнаружении по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию.
В частном случае реализации системы используют базу данных доверенных приложений, предназначенную для хранения информации об известных доверенных приложениях, в результате работы которых формируется защищаемая информация.
В другом частном случае реализации системы средство анализа определяет доверенное приложения, в результате работы которого формируется защищаемая информация, с помощью поиска среди установленных приложений известного доверенного приложения из базы данных доверенных приложений.
Еще в одном частном случае реализации системы в базе данных правил дополнительно хранят правила анализа приложений, необходимые для определения доверенного приложения.
В частном случае реализации системы средство анализа определяет доверенное приложение, в результате работы которого формируется защищаемая информация, путем анализа установленных приложений с использованием правил анализа приложений.
Способ ограничения работы доверенных приложений при наличии подозрительных приложений, в котором: при помощи средства анализа определяют среди установленных приложений доверенное приложение, в результате работы которого формируется защищаемая информация; при помощи средства анализа собирают данные об установленных приложениях; при помощи средства определения обнаруживают по крайней мере одно подозрительное приложение, которое имеет возможность несанкционированно обработать защищаемую информацию, на основе данных о доверенном приложении и установленных приложениях с применением правил обнаружения подозрительных приложений; при обнаружении по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, при помощи средства блокирования ограничивают работу доверенного приложения, в результате работы которого формируется защищаемая информация.
В другом частном случае реализации способа хранят информацию об известных доверенных приложениях, в результате работы которых формируется защищаемая информация.
В частном случае реализации способа определяют доверенное приложение, в результате работы которого формируется защищаемая информация, с помощью поиска среди установленных приложений известного доверенного приложения.
В другом частном случае реализации способа дополнительно хранят правила анализа приложений, необходимые для определения доверенного приложения.
Еще в одном частном случае реализации способа определяют доверенное приложение, в результате работы которого формируется защищаемая информация, путем анализа установленных приложений с использованием правил обнаружения подозрительных приложений.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 отображает структурную схему системы ограничения работы доверенных приложений при наличии подозрительных приложений.
Фиг. 2 иллюстрирует алгоритм работы системы ограничения работы доверенных приложений при наличии подозрительных приложений.
Фиг. 3 представляет пример компьютерной системы общего назначения.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено в приложенной формуле.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Современное программное обеспечение (ПО) обрабатывает информацию, которая может являться предметом интереса злоумышленников. Например, мобильные приложения, созданные для выполнения банковских транзакций, используют двухфакторную аутентификацию: в этом случае от пользователя при помощи мобильного приложения, которое установлено на его собственной мобильной компьютерной системе, требуется введение логина и пароля, от банка - пересылка SMS с одноразовым паролем. Если злоумышленник, используя вредоносные приложения, узнает логин и пароль и имеет возможность на устройстве пользователя перехватить SMS-сообщение с одноразовым паролем, то он сможет выполнить онлайн-транзакцию вместо пользователя. Работу вышеупомянутого приложения необходимо ограничивать до устранения всех подозрительных и вредоносных приложений. Для того чтобы успешно защитить пользовательские данные, используют систему ограничения работы доверенных приложений при наличии подозрительных приложений.
На Фиг. 1 изображена структурная схема системы ограничения работы доверенных приложений при наличии подозрительных приложений. Система ограничения работы доверенных приложений при наличии подозрительных приложений состоит из средства анализа 120, средства определения 130, средства блокирования 140, базы данных правил 150.
Средство анализа 120 предназначено для определения среди установленных на компьютерную систему приложений 110 доверенного приложения, в результате работы которого формируется защищаемая информация.
Доверенным приложением может быть приложение, которое было выпущено легальным производителем 110 для обработки пользовательских данных, в том числе и персональных данных. Доверенное приложение не содержит вредоносного кода.
Защищаемая информация - информация, которая является предметом собственности и подлежит защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Одним из самых распространенных примеров защищаемой информации являются элементы системы аутентификации. https://ru.wikipedia.org/wiki/%C0%F3%F2%E5%ED%F2%E8%F4%E8%EA%E0%F6%E8%FF
Наличие нескольких элементов системы аутентификации на одном устройстве, например мобильном телефоне, может иметь повышенный интерес у злоумышленников.
Доверенные приложения, которые обрабатывают защищаемую информацию, имеют особый интерес для авторов вредоносных программ. Примером доверенных приложений, которые обрабатывают защищаемую информацию, могут быть следующие приложения: банковское приложение (защищаемая информация - логин, пароль, одноразовый пароль, получаемый через SMS), приложения для обработки корпоративной почты (защищаемая информация - логин, пароль, сертификат), приложение для покупок на Ebay (защищаемая информация - логин, пароль, номер банковской карты) и т.д.
Средство анализа 120 может выполнять определение доверенного приложения путем поиска среди установленных приложений 110 доверенных приложений из базы данных доверенных приложений. В этом случае база данных доверенных приложений содержит информацию о доверенных приложениях и о соответствующей защищаемой информации. Пример базы данных доверенных приложений представлен в таблице 1.
Figure 00000001
В другом случае определение доверенного приложения может быть осуществлено путем явного указания пользователем. Пользователь самостоятельно указывает доверенное приложение и выбирает защищаемую информацию.
В ином случае определение доверенного приложения может быть осуществлено путем использования правил анализа приложений. Например, правилом анализа приложения может быть выполнение следующего условия: если приложение
- имеет два и более разрешения на чтение данных пользователя,
- имеет хороший рейтинг от пользователей,
- имеет большое количество скачиваний из магазина приложений (например, Google Play),
- принадлежит определенной категории ПО, например «финансы»,
- подпись содержит сертификат известного легального производителя ПО (http://developer.android.com/tools/publishing/app-signing.html),
то такое приложение можно считать доверенным.
Дополнительным условием к правилам может быть наличие следующего факта: в ходе работы приложения, а именно после обработки совокупности данных пользователя, например логина и пароля, произошло важное событие, которое может быть перехвачено другими приложениями, например получение SMS-сообщения или Data SMS с одноразовым паролем и/или номером сессии, звонка (с сообщением пин-кода) и т.д.
Другой пример правила анализа приложений - если приложение имеет характерную для категории ПО информацию, например логотипа банка (категория «финансы»), других атрибутов банка, например БИК или реквизиты банка, и определен факт того, что с помощью приложения можно совершить платежную операцию, то такое приложение может быть доверенным.
Так же средство анализа 120 предназначено для сбора данных об установленных приложениях 110. К данным об установленных приложениях 110 могут относиться данные о разработчике, разрешениях/правах доступа, категории ПО, рейтинге и количестве скачиваний и комментариев, подписи сертификатом производителя ПО, контрольной сумме и т.д.
Средство анализа 120 передает данные о доверенном приложении и установленных приложениях 110 средству определения 130.
Средство определения 130 предназначено для обнаружения по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обрабатывать защищаемую информацию, на основании данных о доверенном приложении и установленных приложениях 110 с применением правил обнаружения подозрительных приложений.
Подозрительными приложениями могут являться приложения, которые имеют возможность несанкционированно обработать защищаемую информацию.
Под несанкционированной обработкой информации понимают доступ к информации или действия с информацией, осуществляемый с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам. Примером несанкционированной обработки данных может быть обработка подозрительным приложением SMS-сообщения с одноразовым паролем, например, для осуществления транзакции, в результате которой пользователь не получает уведомление о новом сообщении. При этом сообщение может быть прочитано и удалено либо остается прочитанным без дополнительных уведомлений для пользователя.
Характерные признаки подозрительных приложений: автозапуск приложения по определенным событиям, наличие DeviceAdmin (http://developer.android.com/guide/topics/admin/device-admin.html), получение прав администратора, попытка сокрытия своей работы, загрузка из интернета исполняемого кода и т.д. Упомянутому описанию соответствует вредоносное приложение, классифицированное как lotoor (http://securelist.com/blog/incidents/29836/malware-in-the-android-market-part-2/)
При использовании приложения Battle.net Authenticator при авторизации для запуска игрового приложения на персональном компьютере пользователя требуется введение одноразового пароля. Пользователь при запуске игрового приложения на персональном компьютере вводит логин и пароль. После этого пользователь вводит одноразовый пароль, который автоматически генерируется на сервере после введения основного логина и пароля, и отображается в приложении Battle.Net Authenticator, установленном на мобильном устройстве пользователя. Таким образом перехват основного логина и пароля и контроль мобильного приложения Battle.net Authenticator позволят злоумышленникам выполнять любые действия вместо пользователя. В этом случае приложение Battle.net Authenticator необходимо заблокировать до устранения подозрительных приложений, которые могут обработать входящий трафик либо сделать и обработать снимок текущего состояния экрана.
База данных правил 150 предназначена для хранения правил обнаружения подозрительных приложений и правил анализа. В качестве базы данных правил 150 могут использоваться различные виды баз данных, а именно иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Cronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J, функциональные и т.д.
Правила обнаружения подозрительных приложений, которые хранятся в базе данных правил 150, представляют собой ряд условий, при выполнении которых программа считается подозрительной. Условия в правилах имеют варианты и варьируются в зависимости от известных данных о приложениях.
Примеры правил:
1. Если приложение содержит идентификационные данные банка (номера телефонов, названия, ОГРН. БИК и т.д.) URL, логотип, но не располагается в категории «финансы», то такое приложение считается подозрительным.
2. Если приложение имеет возможность сделать снимки экрана при осуществлении какого-либо события, то такое приложение считается подозрительным.
3. Если приложение имеет возможность чтения, модификации, отправки SMS-сообщений, то такое приложение считается подозрительным.
4. Если приложение имеет возможность перехватывать Data SMS-сообщения, передаваемые по портам доверенных приложений или антивирусных программ, то такое приложение считается подозрительным.
В другом варианте реализации, средство определения 130 может поместить приложение в искусственную среду для эмуляции его работы. Если в результате эмуляции приложения окажется, что осуществляется обращение к доверенному приложению, например, из категории «финансы», или защищаемой информации тем или иным способом, то такое приложение будет считаться подозрительным.
В случае если обнаружено по крайней мере одно подозрительное приложение, средство определения 130 передает результат обнаружения средству блокирования 140.
Средство блокирования 140 предназначено для ограничения работы доверенного приложения при обнаружении по крайней мере одного подозрительного приложения. Ограничение может быть снято после остановки или удаления обнаруженных подозрительных приложений.
В одном из вариантов реализации средство блокирование 140 на основании данных об установленных приложениях 110, доверенном приложении и подозрительных приложениях вырабатывает перечень действий, которые необходимо выполнить, чтобы снять ограничение с доверенного приложения. Примером может служить следующий перечень:
1-е действие - остановка подозрительного приложения А.
2-е действие - удаление подозрительного приложения Б.
Средство блокирования 140 после выполнения требуемого перечня действий снимает ограничение с доверенного приложения.
Фиг. 2 отображает алгоритм системы ограничения работы доверенных приложений при наличии подозрительных приложений. На этапе 210 средство анализа 120 среди установленных приложений 110 выполняет определение доверенного приложения. На этапе 211 средство анализа 120 выполняет сбор данных об установленных приложениях 110 и передает данные о доверенном приложении и об установленных приложениях 110 средству определения 130. На этапе 212 средство определения 130 выполняет проверку наличия подозрительных приложений с применением правил обнаружения подозрительных приложений. Средство определения 130 определяет, было ли обнаружено по крайней мере одно подозрительное приложение, которое может несанкционированно обрабатывать защищаемую информацию, на основании данных о доверенном приложении и установленных приложениях 110. В случае если было обнаружено по крайней мере одно подозрительное приложение, на этапе 213 средство анализа 120 передает данные о по крайней мере одном подозрительном приложении средству блокирования 140. Затем средство блокирования 140 ограничивает работу доверенного приложения. В случае если подозрительных приложений не было обнаружено, на этапе 214, система завершает работу.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая, в свою очередь, память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

Claims (2)

1. Система ограничения работы доверенных приложений при наличии подозрительных приложений, которая содержит:
а) средство анализа, предназначенное для:
сбора данных об установленных приложениях, где данными об установленных приложениях является по крайней мере одно из:
- данные о разработчике приложения,
- разрешения доступа приложения,
- категория приложения,
- рейтинг приложения,
- количество скачиваний и комментариев приложения,
- наличие подписи сертификата производителя программного обеспечения,
- контрольная сумма файлов приложения;
определения среди установленных приложений доверенного приложения, в результате работы которого формируется защищаемая информация, на основании собранных данных об установленных приложениях и при помощи правил анализа приложений;
передачи данных о доверенном приложении и собранных данных об установленных приложениях средству определения;
б) средство определения, предназначенное для:
размещения установленных приложений в искусственную среду;
эмуляции работы установленных приложений, размещенных в искусственной среде;
среди установленных приложений, эмуляция которых выполнена, обнаружения по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, сформированную в результате работы доверенного приложения, на основании данных о доверенном приложении и собранных данных об установленных приложениях с применением правил обнаружения подозрительных приложений;
передачи собранных данных об установленных приложениях, данных о доверенном приложении и данных о подозрительном приложении средству блокирования;
в) базу данных правил, предназначенную для хранения правил анализа приложений и правил обнаружения подозрительных приложений;
г) средство блокирования, предназначенное для:
ограничения работы доверенного приложения, в результате работы которого формируется защищаемая информация, при обнаружении по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, сформированную в результате работы доверенного приложения;
на основании данных о доверенном приложении и данных о подозрительном приложении выработки перечня действий, которые необходимо выполнить, чтобы снять ограничение с доверенного приложения.
2. Способ ограничения работы доверенных приложений при наличии подозрительных приложений, в котором:
а) при помощи средства анализа собирают данные об установленных приложениях, где данными об установленных приложениях является по крайней мере одно из:
- данные о разработчике приложения,
- разрешения доступа приложения,
- категория приложения,
- рейтинг приложения,
- количество скачиваний и комментариев приложения,
- наличие подписи сертификата производителя программного обеспечения,
- контрольная сумма файлов приложения;
б) при помощи средства анализа определяют среди установленных приложений доверенное приложение, в результате работы которого формируется защищаемая информация, на основании собранных данных об установленных приложениях и при помощи правил анализа приложений;
в) при помощи средства определения размещают установленные приложения в искусственную среду;
г) при помощи средства определения эмулируют работу установленных приложений, размещенных в искусственной среде;
д) при помощи средства определения среди установленных приложений, эмуляция которых выполнена, обнаруживают по крайней мере одно подозрительное приложение, которое имеет возможность несанкционированно обработать защищаемую информацию, сформированную в результате работы доверенного приложения, на основании данных о доверенном приложении и собранных данных об установленных приложениях с применением правил обнаружения подозрительных приложений;
е) при помощи средства ограничения ограничивают работу доверенного приложения, в результате работы которого формируется защищаемая информация, при обнаружении по крайней мере одного подозрительного приложения, которое имеет возможность несанкционированно обработать защищаемую информацию, сформированную в результате работы доверенного приложения;
ж) при помощи средства ограничения на основании данных о доверенном приложении и данных о подозрительном приложении вырабатывают перечень действий, которые необходимо выполнить, чтобы снять ограничение с доверенного приложения.
RU2014148962/08A 2014-12-05 2014-12-05 Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений RU2595511C2 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2014148962/08A RU2595511C2 (ru) 2014-12-05 2014-12-05 Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений
US14/623,901 US9183383B1 (en) 2014-12-05 2015-02-17 System and method of limiting the operation of trusted applications in presence of suspicious programs
EP15158982.7A EP3029593B1 (en) 2014-12-05 2015-03-13 System and method of limiting the operation of trusted applications in the presence of suspicious programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014148962/08A RU2595511C2 (ru) 2014-12-05 2014-12-05 Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений

Publications (2)

Publication Number Publication Date
RU2014148962A RU2014148962A (ru) 2016-06-27
RU2595511C2 true RU2595511C2 (ru) 2016-08-27

Family

ID=54363501

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014148962/08A RU2595511C2 (ru) 2014-12-05 2014-12-05 Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений

Country Status (3)

Country Link
US (1) US9183383B1 (ru)
EP (1) EP3029593B1 (ru)
RU (1) RU2595511C2 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2634174C1 (ru) * 2016-10-10 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ выполнения банковской транзакции
RU2697951C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ прекращения работы функционально ограниченного приложения, взаимосвязанного с веб-сайтом, запускаемого без установки
RU2724713C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US9104870B1 (en) * 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9215239B1 (en) * 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US9904783B2 (en) * 2015-02-09 2018-02-27 Lenovo (Beijing) Co., Ltd. Information processing method and electronic device
US10169611B2 (en) * 2015-09-10 2019-01-01 International Business Machines Corporation Dynamic application hiding
US10496820B2 (en) 2016-08-23 2019-12-03 Microsoft Technology Licensing, Llc Application behavior information
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
CN110801630B (zh) * 2019-11-04 2023-07-25 网易(杭州)网络有限公司 作弊程序确定方法、装置、设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7676843B1 (en) * 2004-05-27 2010-03-09 Microsoft Corporation Executing applications at appropriate trust levels
RU2397537C2 (ru) * 2004-12-21 2010-08-20 Майкрософт Корпорейшн Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе
CA2902110A1 (en) * 2013-02-25 2014-08-28 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5359659A (en) * 1992-06-19 1994-10-25 Doren Rosenthal Method for securing software against corruption by computer viruses
US6330670B1 (en) * 1998-10-26 2001-12-11 Microsoft Corporation Digital rights management operating system
US7194092B1 (en) * 1998-10-26 2007-03-20 Microsoft Corporation Key-based secure storage
US7613930B2 (en) * 2001-01-19 2009-11-03 Trustware International Limited Method for protecting computer programs and data from hostile code
US20020116639A1 (en) * 2001-02-21 2002-08-22 International Business Machines Corporation Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses
US7653727B2 (en) * 2004-03-24 2010-01-26 Intel Corporation Cooperative embedded agents
US7480683B2 (en) 2004-10-01 2009-01-20 Webroot Software, Inc. System and method for heuristic analysis to identify pestware
US8499350B1 (en) 2009-07-29 2013-07-30 Symantec Corporation Detecting malware through package behavior
US20080168562A1 (en) * 2005-02-25 2008-07-10 Tomoyuki Haga Secure Processing Device and Secure Processing System
US8769433B2 (en) * 2005-05-13 2014-07-01 Entrust, Inc. Method and apparatus for protecting communication of information through a graphical user interface
US7941522B2 (en) * 2005-07-01 2011-05-10 Microsoft Corporation Application security in an interactive media environment
JP2007048216A (ja) * 2005-08-12 2007-02-22 Canon Inc 文書管理装置、文書管理方法、文書管理プログラム、記憶媒体
US7730539B2 (en) * 2005-10-21 2010-06-01 Microsoft Corporation Authenticating third party products via a secure extensibility model
US8434148B2 (en) * 2006-03-30 2013-04-30 Advanced Network Technology Laboratories Pte Ltd. System and method for providing transactional security for an end-user device
WO2007117574A2 (en) 2006-04-06 2007-10-18 Smobile Systems Inc. Non-signature malware detection system and method for mobile platforms
US8239915B1 (en) * 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
US8341744B1 (en) * 2006-12-29 2012-12-25 Symantec Corporation Real-time behavioral blocking of overlay-type identity stealers
US7908660B2 (en) * 2007-02-06 2011-03-15 Microsoft Corporation Dynamic risk management
US20090006232A1 (en) * 2007-06-29 2009-01-01 Gallagher Ken A Secure computer and internet transaction software and hardware and uses thereof
WO2009097350A1 (en) * 2008-01-29 2009-08-06 Palm, Inc. Secure application signing
US8312539B1 (en) * 2008-07-11 2012-11-13 Symantec Corporation User-assisted security system
GB2461870B (en) * 2008-07-14 2012-02-29 F Secure Oyj Malware detection
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US9043919B2 (en) * 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US8752180B2 (en) * 2009-05-26 2014-06-10 Symantec Corporation Behavioral engine for identifying patterns of confidential data use
US8201255B1 (en) * 2009-06-30 2012-06-12 Symantec Corporation Hygiene-based discovery of exploited portals
US8590045B2 (en) * 2009-10-07 2013-11-19 F-Secure Oyj Malware detection by application monitoring
US8918867B1 (en) * 2010-03-12 2014-12-23 8X8, Inc. Information security implementations with extended capabilities
KR20120096983A (ko) * 2011-02-24 2012-09-03 삼성전자주식회사 악성 프로그램 검출 방법 및 이를 구현하는 휴대 단말기
US20120311710A1 (en) * 2011-06-03 2012-12-06 Voodoosoft Holdings, Llc Computer program, method, and system for preventing execution of viruses and malware
US20140053234A1 (en) * 2011-10-11 2014-02-20 Citrix Systems, Inc. Policy-Based Application Management
US9503460B2 (en) * 2011-10-13 2016-11-22 Cisco Technology, Inc. System and method for managing access for trusted and untrusted applications
US8595841B2 (en) 2011-11-09 2013-11-26 Kaprica Security, Inc. System and method for bidirectional trust between downloaded applications and mobile devices including a secure charger and malware scanner
US9213729B2 (en) * 2012-01-04 2015-12-15 Trustgo Mobile, Inc. Application recommendation system
US8862181B1 (en) * 2012-05-29 2014-10-14 Sprint Communications Company L.P. Electronic purchase transaction trust infrastructure
US8863252B1 (en) * 2012-07-25 2014-10-14 Sprint Communications Company L.P. Trusted access to third party applications systems and methods
US8913994B2 (en) * 2012-11-02 2014-12-16 Lookout, Inc. System and method for call blocking and SMS blocking
US9467465B2 (en) * 2013-02-25 2016-10-11 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control
US9785767B2 (en) * 2013-03-15 2017-10-10 Imagine Communications Corp. Systems and methods for determining trust levels for computing components
GB2505284B (en) * 2013-06-17 2014-07-23 F Secure Corp Anti-Malware Tool for Mobile Apparatus
US9519775B2 (en) * 2013-10-03 2016-12-13 Qualcomm Incorporated Pre-identifying probable malicious behavior based on configuration pathways

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7676843B1 (en) * 2004-05-27 2010-03-09 Microsoft Corporation Executing applications at appropriate trust levels
RU2397537C2 (ru) * 2004-12-21 2010-08-20 Майкрософт Корпорейшн Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе
CA2902110A1 (en) * 2013-02-25 2014-08-28 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2634174C1 (ru) * 2016-10-10 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ выполнения банковской транзакции
RU2697951C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ прекращения работы функционально ограниченного приложения, взаимосвязанного с веб-сайтом, запускаемого без установки
RU2724713C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя

Also Published As

Publication number Publication date
EP3029593B1 (en) 2017-09-20
US9183383B1 (en) 2015-11-10
RU2014148962A (ru) 2016-06-27
EP3029593A1 (en) 2016-06-08

Similar Documents

Publication Publication Date Title
RU2595511C2 (ru) Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений
US11038876B2 (en) Managing access to services based on fingerprint matching
US11157616B2 (en) Mobile application management
Chen et al. Uncovering the face of android ransomware: Characterization and real-time detection
Seo et al. Detecting mobile malware threats to homeland security through static analysis
Khan et al. Survey on mobile user's data privacy threats and defense mechanisms
US11140150B2 (en) System and method for secure online authentication
US20140380478A1 (en) User centric fraud detection
US9825977B2 (en) System and method for controlling access to data of a user device using a security application that provides accessibility services
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
Zaidi et al. A survey on security for smartphone device
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
JP6341964B2 (ja) 悪意のあるコンピュータシステムを検出するシステム及び方法
US9300674B2 (en) System and methods for authorizing operations on a service using trusted devices
Hutchinson et al. Are we really protected? An investigation into the play protect service
Walls et al. A review of free cloud-based anti-malware apps for android
Sikder et al. A survey on android security: development and deployment hindrance and best practices
Bhuiyan et al. API vulnerabilities: Current status and dependencies
Hutchinson et al. Forensic analysis of spy applications in android devices
Sharma et al. Smartphone security and forensic analysis
Zeybek et al. A study on security awareness in mobile devices
Tidke et al. Detection and prevention of Android malware thru permission analysis
Malik et al. Behaviour analysis of android application
Muttik Securing mobile devices: Present and future
Cavalcanti et al. Security Issues and Solutions for Android-based Mobile Devices