安卓機 60% 的殺毒應用都沒用,就問你怕不怕?
近日,知名計算機安全軟體測試機構 AV-Comparatives(AVC)發布了安卓平台殺毒應用的測試報告。經過 50 多萬次的測試之後,結果顯示,超過 60% 的應用都是無用的。
在 250 個受測殺毒應用中,只有 80 個通過了 AVC 的基礎考核標準,即成功查殺了 2000 個惡意應用中的 30% 以上,獲得滿分的僅有 23 個,除了 McAfee、賽門鐵克和卡巴斯基等知名品牌,騰訊的安全應用也位列其中。
至於剩下的 170 個應用,它們不僅滿足不了基準測試,有的還會將無毒應用誤殺,甚至把自己當成惡意應用。
圖 | 獲得滿分的殺毒應用(來源:AVC)
研究團隊表示,用來測試的惡意應用都是 2018 年比較常見的,測試環境不是安卓模擬機,而是使用了三星 Galaxy S9 手機,基於安卓 8.0 系統。不過由於一些殺毒應用不能在該系統下運行,他們不得不換成 Nexus 5手機和安卓 6.01 系統。
由於需要測試的惡意應用數量太多,AVC 使用了一套自動測試系統。首先該系統會打開 Chrome 瀏覽器,下載惡意應用的安裝包(apk文件),然後安裝和運行該應用。在這一過程中,殺毒應用被給予了充足的反應和提醒時間,如果它檢測到並有效阻止了惡意應用,就算檢測成功,否則就算為失敗。
測試過程還包括一個誤報測試,防止殺毒應用“濫殺無辜”,把所有的應用都當成惡意應用。每一次完成檢測後,測試環境都會還原到無毒的初始狀態。
在未能滿足基準測試的應用中,AVC 發現了很多共同點,例如好多款應用來自於同一家公司,共享同一個殺毒引擎和 UI 界面,只是換了名字、logo、圖標和顏色等元素。
圖 | “換湯不換藥”的殺毒應用(來源:AVC)
共享殺毒引擎不一定是壞事,很多公司都會租賃自家的殺毒技術或者推出多個版本,比如 Avast 旗下擁有 Avast、AVG 和 PSafe 三款應用,均達到了 100% 的殺毒率。但在最壞的情況下,有的公司甚至不是軟體/網絡安全公司,開發者也並非專業安全工程師,使用的引擎查殺效果很差。
在 AVC 進行測試的 2 個多月裡,就有 32 款殺毒應用從谷歌 Play 商店中下架了。它們大多是業餘企業開發的無價值產品。
還有很多應用的查殺率很高,卻也被打上了“高風險”的標簽,因為它們僅僅依靠“白名單”和“黑名單”掃描病毒,而非掃描代碼和安裝包內容。
此類殺毒應用是“事後諸葛”的典型,在一種病毒出現後,開發者只需要擴展黑名單,就可以象徵性地查殺。但惡意應用只要改個名字,比如偽裝成安全的 Facebook 安裝包“com.facebook”,就可以輕鬆蒙混過關。
圖 | 某殺毒應用的白名單(來源:AVC)
最有意思的是,它們的白名單存在讓人啼笑皆非的邏輯漏洞。有的會出現“殺無赦”狀態,將所有應用統統排除在外,全部視為惡意應用。有的則會出現“自殺”狀態,將它自己視為惡意應用,怕是開發者忘了把自家程序放入白名單中。
除此之外,AVC 還指出一些殺毒應用存在沒有跟上安卓系統更新的問題。隨著安卓系統升級到 8.0 版本,系統對後台應用的限制更加嚴格,從根本上控制了一些應用的後台運行,因此殺毒應用需要更新實時監控手機狀態的方式,否則就會出現 bug,遺漏對新安裝應用自動掃描,給了惡意應用可乘之機。
2018 年初,有一個名為“寄生推”的惡意安卓軟體開發工具包(SDK),會通過“雲端控制”在被感染的手機上推送廣告和應用。它的惡意代碼可以繞過很多應用商店的檢測,感染了 300 多款知名應用,主流安卓手機都會受到感染,影響用戶超過 2000 萬。
面對這種隱蔽的惡意代碼,假的殺毒應用將會原形畢露。“找到虛假的殺毒應用並不奇怪,我們以前就曾發現過很多,人們必須意識到這一問題。” AVC 首席運營官 Peter Stelzhammer 表示。
面對這些本身沒有危害,但也沒有什麽效果的殺毒應用,谷歌商店等平台采取的措施十分有限。如何提高篩查標準,在阻止惡意應用的同時,提升應用的安全質量,也是他們面臨的一大考驗。
如果真的需要安裝殺毒應用,可以參考文章開頭的列表,選擇 McAfee、賽門鐵克和卡巴斯基等知名大廠的軟體,其余絕大多數殺毒應用都沒有什麽價值,只能浪費手機記憶體。
香港九龍灣馬來街興發大廈15樓D室