L’home dibuixat

Bouncer és el sistema utilitzat per Google per detectar l'existència de malware dins les aplicacions disponibles a la botiga online Google Play. Poca cosa se'n sabia d'ell, excepte que simulava el comportament «normal» d'un usuari i detectava si l'aplicació realitzava operacions rares (com connectar-se a algun lloc sospitós per transferir informació sensible).

Ara, en una conferència de seguretat, s'han presentat alguns detalls del funcionament d'aquests sistema de control d'aplicacions: s'executa en una màquina virtual QEMU i totes les peticions que realitza s'originen d'un bloc d'adreces IP que sempre és el mateix… i que només analitza l'aplicació durant cinc minuts; és a dir, que la forma més senzilla de saltar-se el Bouncer és iniciar les accions malèvols a partir del sisè minut d'execució. I per a demostrar-ho:

During a presentation at Black Hat, Trustwave's Nicholas Percoco and Sean Schulte explained that they had created “SMS Blocker,” which appeared to be like any other SMS blocker app on the market, but was also capable of harvest information such as contacts, SMS messages, photos; launching DoS attacks; and even force a web page to load.

Més detalls al bloc d'un dels autors de l'estudi («Dissecting the Android Bouncer») i a la presentació amb el mateix títol.