反病毒測試機構:2/3安卓防病毒軟體都是假的
[ 摘要 ]AV-Comparatives的工作人員說,許多防病毒應用實際上並沒有掃描使用者正在下載或安裝的應用程式,而只是使用了白名單/黑名單的方法,只看軟體包的名稱(而不是它們的程式碼)。
騰訊科技訊 3月16日訊息,據外媒報道,奧地利網路病毒測試機構AV-Comparatives釋出最新報告稱,大約三分之二的安卓(Android)防病毒應用都是假的,並不像廣告中所吹噓的那樣有效。
AV-Comparatives今年1月份對谷歌官方應用店Google Play上的250個安卓防病毒應用程式進行了測試。結果卻令人感到觸目驚心,許多防病毒應用程式將自己檢測為惡意軟體,並顯示出安卓防病毒產業的糟糕狀況,該行業似乎擁有比實際網路安全供應商更多的病毒。
AV-Comparatives表示,他們對250個應用程式進行了單獨測試,其中只有80個應用檢測到了30多種惡意軟體。此次測試也並不複雜。研究人員將每個防病毒應用程式安裝在單獨裝置上(不涉及模擬器),並自動將裝置開啟瀏覽器,下載惡意應用程式,然後安裝它。
測試人員對每個應用程式做了2000次這樣的測試,讓測試裝置下載了2000種去年最常見的安卓惡意軟體變體,這意味著所有的防病毒應用應該在很久以前就已經將這些惡意軟體編入索引了。
然而,測試結果卻並不樂觀。AV-Comparatives的工作人員說,許多防病毒應用實際上並沒有掃描使用者正在下載或安裝的應用程式,而只是使用了白名單/黑名單的方法,只看軟體包的名稱(而不是它們的程式碼)。
實際上,如果安裝在使用者手機上的任何應用程式軟體包名稱不包括在其白名單中,某些防病毒應用程式在預設情況下會將該應用程式標記為惡意應用程式。這就是為何當應用作者忘記將自己的軟體包名稱新增到白名單時,有些防病毒應用程式將其視為惡意軟體的原因。
在其他情況下,有些防病毒應用程式在其白名單中使用萬用字元,並帶有“com.adobe.*”等條目。在這種情況下,惡意軟體變體所要做的就是使用名為“com.adobe.[RandomText]”的軟體包名稱,就可以繞過數十個安卓防病毒產品的掃描。
AV-Comparatives稱,它認為30%的檢測標記(無誤報)是合法防病毒應用程式與其認為無效或完全不安全應用程式之間的閾值。這意味著,在250個安卓防病毒應用中,有170個未能通過該組織最基本的檢測測試,顯然這些應用都是假的。
AV-Comparatives的工作人員表示:“上述大多數應用似乎都是由業餘程式設計師或軟體製造商開發的,這些軟體製造商並不專注於安全業務。而那些存在風險的應用則是應用程式設計師開發的,他們從事廣告/貨幣化業務,或者只是出於宣傳的原因,希望在他們的產品組合中加入一款安卓保護應用。”
此外,這些應用程式中的許多似乎也是由同一個程式設計師在裝配線上開發的。數十個應用程式具有相同的使用者介面,許多應用程式更感興趣的是顯示廣告,而不是擁有惡意軟體掃描的功能。對於過去幾個月中關注安卓防病毒產業網路安全的人來說,AV-Comparatives的研究結果並不太令人感到意外。
ESET移動惡意軟體分析師盧卡斯·斯特凡科(Lukas Stefanko)幾個月來始終在警告公眾注意這些威脅。他過去的一些推文證實了AV-Comparatives的研究,比如研究人員發現安卓防病毒應用程式甚至會將自己檢測為惡意軟體。(騰訊科技審校/金鹿)