Aprender de los errores para desarrollar un mejor software

Hace unos diez años, G DATA presentó la primera versión de una solución de seguridad para dispositivos Android en CeBIT. Los muy buenos resultados de las pruebas en AV-Test en los últimos años demuestran qué tan bien las aplicaciones de seguridad protegen los teléfonos inteligentes y las tabletas. Es hora de mirar hacia atrás y preguntar cómo fue posible mantener los resultados en un nivel alto

Menos de dos años después de que Google introdujera el sistema operativo Android, Android.Trojan.FakePlayer.A el primer malware para dispositivos móviles. Estaba claro que los dispositivos móviles necesitan la misma protección que las PC privadas o las redes empresariales. Solo unos meses después, G DATA presentó su primera solución de seguridad para Android en CeBIT. Esto fue posible porque G DATA ya había estado involucrado en un proyecto de investigación sobre el tema de la seguridad de Android. En el siguiente paso, los expertos móviles utilizaron este conocimiento para crear una primera versión de la seguridad móvil. Al igual que el software de seguridad para PC y redes, la solución se basó en firmas de malware que se actualizaban periódicamente. “Gran parte del trabajo todavía se hacía manualmente en ese momento. Los clientes inicialmente recibieron actualizaciones una o dos veces al día, dice Stefan Decker, desarrollador del equipo de Mobile.

Automatización contra malware

Con el número cada vez mayor de malware, la detección pronto se automatizó para aliviar al equipo. El sistema calculó un valor a partir de varios factores con diferentes ponderaciones. Si estaba por encima de un umbral definido, la aplicación se consideraba maliciosa. G DATA Mobile Security Android continúa desarrollando esta lógica hoy para usar. El número de detecciones aumentó y los intervalos entre actualizaciones de firmas se acortaron. Las identificaciones falsas también fueron parte del proceso de aprendizaje. Los comentarios de los clientes y el soporte proporcionaron una valiosa ayuda para realizar mejoras adicionales en la detección. Un ejemplo: la aplicación Google Play Store llegó a la lista de aplicaciones maliciosas. La razón de esto fue que los analistas siempre estaban probando nuevos métodos de detección y uno de ellos estaba dirigido exclusivamente a los permisos de las aplicaciones, porque los permisos de largo alcance siguen siendo una indicación de software potencialmente peligroso en la actualidad. Sin embargo, la aplicación de la Play Store oficial también puede hacer casi cualquier cosa que lleve a una detección incorrecta.

Acelera con la nube

Inicialmente, los teléfonos inteligentes aún no estaban «siempre encendidos» y «siempre conectados», pero las aplicaciones aún se descargaban a través de la PC, con las cuales los usuarios tenían que conectar sus teléfonos inteligentes. De esta manera, los usuarios también recibieron actualizaciones para su software antivirus, generalmente una vez al día. Con la conexión constante a Internet, los requisitos para una solución de protección para dispositivos móviles también cambiaron. Por lo tanto, los desarrolladores integraron su propia solución en la nube móvil G DATA en la aplicación de seguridad en abril de 2014. La mayor ventaja: una actualización cada minuto y, por lo tanto, una mejor protección contra los ataques. Por lo tanto, un nuevo reconocimiento está disponible de inmediato para todos los clientes. La forma en que la situación de amenazas para los dispositivos móviles ha cambiado en los primeros años también se demostró con el descubrimiento de malware preinstalado en nuevos dispositivos Android . Un peligro que aún existe hoy. En ese momento, condujo a un cambio en la comprensión de la detección de malware, porque las aplicaciones del sistema previamente instaladas se consideraban inofensivas.

La prueba AV, con un número significativamente menor de no detecciones en el rango de un solo dígito, proporcionó evidencia inicial del desempeño de la nueva tecnología.

Con un nuevo motor para mayor estabilidad.

Con una nueva actualización en abril de 2017, se utilizó un nuevo motor por primera vez: la nueva tecnología permitió a los analistas analizar detalladamente las aplicaciones sospechosas para analizar archivos individuales además del caparazón externo. Los desarrolladores habían revisado la forma de verificar archivos maliciosos y también establecieron nuevos procedimientos en los procesos. En general, el rendimiento del reconocimiento volvió a mejorar y la estabilidad aumentó significativamente. “La prueba AV ya proporcionó evidencia inicial del desempeño de la nueva tecnología, con un número significativamente menor de no detecciones en el rango de un solo dígito. Las soluciones de G DATA también impresionaron con excelentes resultados en las pruebas posteriores hasta la última investigación del instituto de investigación independiente ”, dice Stefan Decker.

En el siguiente paso, los desarrolladores adaptaron los procedimientos de clasificación del malware y cambiaron el mecanismo y el método. Esto resultó en una detección más rápida de nuevas amenazas y aumentó el ritmo de las actualizaciones en la nube. Los clientes estaban mucho mejor protegidos de esta manera. El último paso fue la última versión de la solución de protección. El enfoque aquí fue revisar la interfaz de usuario para satisfacer las necesidades cambiantes de los usuarios. Los usuarios reciben una descripción general simple y completa del estado de seguridad actual directamente en la página de inicio. La configuración personal de áreas individuales se realiza con unos pocos clics.

Los desarrolladores también realizaron ajustes a nivel tecnológico. La aplicación ahora protege aún mejor contra el stalkerware. De esta manera, apoya a los usuarios con un diálogo en su toma de decisiones y la pregunta de qué hacer a continuación. Stalkerware ofrece la posibilidad de penetrar en la vida privada de una persona a través de dispositivos móviles y se utiliza como herramienta de abuso en casos de violencia doméstica y acoso. Estos programas se ejecutan ocultos en segundo plano sin el conocimiento o consentimiento de la víctima. Como parte de los análisis habituales de la aplicación, la aplicación de seguridad comprueba las propiedades de las aplicaciones instaladas. Si varios de ellos cumplen las características de stalkerware, como un acceso extenso a mensajes o datos, los usuarios recibirán una advertencia correspondiente.

Actuar siempre en interés del cliente

La historia de éxito de Mobile Security también tiene otras razones, que se hacen evidentes en el lado del equipo y el tipo de cooperación. Los responsables decidieron desde el principio adoptar métodos de trabajo ágiles usar. «La decisión nos ayudó mucho, porque podemos reaccionar mejor a los desafíos actuales de nuestros clientes, por ejemplo para adaptar las detecciones más rápidamente», dice Stefan Decker. Google está desarrollando constantemente el sistema operativo Android, por lo que es necesario realizar ajustes si, por ejemplo, se interrumpe una interfaz. El malware también está evolucionando, lo que requiere actualizaciones constantes en las tecnologías de detección para protegerse de los intentos de ataque actuales.

Nueva cultura de error

Las pruebas periódicas son una parte esencial del proceso de desarrollo. La aplicación de seguridad se prueba en diferentes dispositivos con diferentes versiones de Android. Los desarrolladores involucrados usan la versión BETA en sus dispositivos privados y así pueden poner la solución a prueba. Esto también significa que los comentarios de los usuarios se toman en serio. El equipo móvil recibe comentarios del soporte muy rápidamente si algo no funciona como debería. Otro aspecto es una cultura post-mortem viva. El equipo analiza inmediatamente incidentes como falsos positivos para que no vuelvan a ocurrir si es posible. «Se trata de aprender de los errores y mejorar juntos», dice Stefan Decker.

Otro componente del aseguramiento de la calidad es la Iniciativa de Información sobre Malware, o MII para abreviar. Con una pestaña en la aplicación, los clientes declaran que están listos para entregar ciertos datos a los analistas de G DATA. Los analistas reciben información sobre los modelos de dispositivos utilizados, el nombre de la aplicación y el hash del malware detectado. Los datos personales del usuario o la configuración, como los números de teléfono, no se transfieren ni analizan en el sistema. De esta forma, los clientes ayudan con el reconocimiento a través de sus datos, de modo que se pueda mejorar el rendimiento del reconocimiento.

Conclusión: es un largo camino hasta la cima

La pregunta de por qué la solución de protección de Android de G DATA ha estado proporcionando excelentes resultados de pruebas desde 2017 no puede responderse en una frase. En los últimos años, muchas pequeñas piezas del rompecabezas han ayudado al equipo móvil a realizar repetidamente los ajustes correctos para mejorar el rendimiento de protección de la aplicación y trabajar mejor en equipo.

Enlace:https://www.gdata.de/blog/2021/08/36962-aus-fehlern-lernen-um-bessere-software-zu-entwickeln Blog de G DATA