Google Play Protect cambia: è davvero scansione in tempo reale su Android?

Google Play Protect è un servizio di sicurezza che si prefigge l’obiettivo di proteggere i dispositivi Android da app dannose o indesiderate. È integrato nel sistema operativo Android (abilitato su tutti i device che integrano i Play Services) e offre una linea di difesa di base contro le applicazioni che possono costituire una minaccia per gli utenti e per i loro dati.

Il software Google esegue la scansione delle app presenti sul dispositivo e di quelle che l’utente scarica dal Play Store. L’attività di analisi verifica la presenza di malware, spyware e altri componenti dannosi sul terminale Android.

Google Play Protect migliora la scansione delle app

Il software Google Play Protect esegue ogni giorno la scansione di qualcosa come 125 miliardi di app perché è praticamente onnipresente sui dispositivi Android degli utenti. Una diffusione così estesa richiama l’azienda di Mountain View a implementare continue migliorie, essenziali quando si parla di sicurezza e con una base di utenti estremamente vasta.

Come trapelato qualche settimana fa, adesso arriva la conferma ufficiale: Google Play Protect diventa in grado di esaminare in tempo reale ciò che avviene sul dispositivo rilevando comportamenti sospetti e neutralizzandoli di conseguenza.

Per cercare di evitare il rilevamento da parte di servizi come Play Protect, i criminali informatici utilizzano app dannose che rendono disponibili al di fuori del Play Store. Inoltre, come spiegano i tecnici di Google, gli aggressori usano sempre più spesso malware polimorfico, progettato per modificare la sua firma o il suo codice ogni volta che infetta un nuovo dispositivo.

Si fa inoltre sempre più riferimento all’utilizzo dell’ingegneria sociale per indurre gli utenti a fare qualcosa di pericoloso, come rivelare informazioni riservate o scaricare un’app dannosa da fonti non ufficiali e quindi potenzialmente rischiose.

Come funziona il nuovo meccanismo di scansione

Nonostante la solida presenza sui dispositivi degli utenti finali, Google Play Protect ancora oggi non convince. Già a metà 2021 sottolineavamo che Play Protect non offriva una protezione avanzata su Android: il giudizio non è cambiato neppure nel 2023. Purtroppo, i test più aggiornati mettono ancora in evidenza come Play Protect offra un livello di protezione ridotto, soprattutto se confrontato con le principali soluzioni per la protezione dei dispositivi Android.

Con il nuovo approccio descritto da Google, qualcosa potrebbe finalmente cambiare. Il nuovo Google Play Protect, in fase di distribuzione sui dispositivi degli utenti finali da qui a qualche mese, suggerisce una scansione delle app quando si installano applicazioni mai scansionate prima. Di norma, infatti, Play Protect riconosce l’applicazione con cui ha a che fare a partire dal suo hash e da altre caratteristiche descrittive quindi interroga i database di Google, disponibili sui server dell’azienda, per stabilire se si tratti di un’app legittima o meno.

Quando Play Protect non riconosce un’app, adesso sarà possibile estrarre alcune informazioni essenziali e trasmetterle all’infrastruttura backend di Google per una valutazione a livello di codice. È qui il succo dell’importante novità introdotta in Play Protect: una volta completata l’analisi in tempo reale, gli utenti riceveranno un risultato che li informerà se l’app sembra sicura (e può quindi essere installata senza problemi) o se la scansione abbia rilevato potenziali problemi. Lo scanner potenziato di Play Protect sfrutterà l’analisi statica, insieme all’euristica e all’apprendimento automatico, per identificare modelli indicativi di attività dannose. I segnali estratti dall’app fungono da input chiave per l’analisi in-cloud basata sull’intelligenza artificiale.

Con questo schema rinnovato, Play Protect dovrebbe proteggere meglio gli utenti dai malware polimorfici che sfruttano vari metodi, come l’intelligenza artificiale, per auto-modificarsi continuamente ed evitare il riconoscimento.

Non è propriamente una scansione in tempo reale

Quella introdotta da Google nel suo Play Protect non è quindi una scansione in tempo reale in senso stretto. Con quest’espressione ci riferiamo infatti alle applicazioni antimalware che restano costantemente in esecuzione in background, bloccano automaticamente e segnalano all’utente eventuali comportamenti sospetti.

È piuttosto una scansione migliorata che si attiva nel momento in cui l’utente prova a installare app Android ancora sconosciute, da qualunque fonte esse provengano.

Ovviamente, alcune app dannose continueranno ad essere in grado di superare il sistema di protezione Google, ad esempio aggiungendo dei ritardi piuttosto lunghi prima del download del codice malevolo (payload). Poiché Play Protect effettua la scansione al momento dell’installazione delle app e su base periodica, alcuni aggressori potrebbero eludere il rilevamento lungo una finestra temporale piuttosto ampia.

Aggiornamento di Play Protect e protezione multilivello

L’aggiornamento di Play Protect, come di altri componenti di base di Android, è svincolato da quello del sistema operativo vero e proprio. In questo modo è possibile godere delle nuove misure di difesa via via introdotte da Google indipendentemente dalla versione del sistema operativo installata sui propri terminali.

I tecnici di Google sottolineano che le difese di Android guardano sempre più a un approccio multilivello: Play Protect è affiancato con aggiornamenti di sicurezza continui, abbinando anche il controllo dei permessi assegnati alle app (con la revoca automatica delle autorizzazioni per le app Android che non si usano affatto…) e la Navigazione sicura di Chrome, attiva per default anche a livello del componente di sistema System WebView.