近日,知名计算机安全软件测试机构AV Comparatives(AVC)发布了一份Android平台反病毒应用的测试报告。经过50多万次的测试,结果显示超过60%的应用都是无用的。
在测试的250款反病毒应用中,只有80款通过了AVC的基本评测标准,即成功检测并查杀2000款恶意应用中的30%以上,只有23款获得满分。除了迈克菲、赛门铁克、卡巴斯基等知名品牌,腾讯的安全应用也位列其中。
剩下的170款应用,不仅没有通过基准测试,还误杀了无毒应用,甚至把自己当成了恶意应用。
该团队表示,用于测试的防病毒应用程序在2019年很常见。测试环境不是安卓模拟器,而是基于安卓8.0系统的三星Galaxy S9手机。但由于部分杀毒应用无法在系统下运行,需要切换到Nexus5手机和Android6.01系统。
由于需要测试的防病毒应用程序太多,AVC使用了自动测试系统。首先系统会打开chrome浏览器,下载恶意应用的安装包(apk文件),然后安装运行应用。在这个过程中,反病毒应用获得足够的响应和提醒时间。如果它检测并有效阻止恶意应用程序,即使检测成功,也将被视为失败。
测试过程还包括一个误报测试,防止杀毒应用“滥杀无辜”,将所有应用视为恶意应用。每次测试后,测试环境恢复到初始无毒状态。
在不符合基准的应用程序中,AVC发现了许多共同点。例如,许多应用程序来自同一家公司,共享相同的防病毒引擎和UI。只需更改名称、徽标、图标和颜色。
“换汤不换药”的抗病毒应用(图片来源:AVC)
共享杀毒引擎不一定是坏事。很多公司都是租用别人的杀毒技术或者推出多个版本,比如avast,avg,safe,都是100%杀毒率。但最坏的情况下,有些公司甚至不是软件/网络安全公司,开发人员也不是专业的安全工程师。使用的发动机杀伤力差。
在两个多月的AVC测试中,已有32款反病毒应用被谷歌Play商店移除。大部分都是业余企业开发的不值钱的产品。
其他很多杀毒程序虽然杀伤力很高,但由于只是依靠“白名单”和“黑名单”来扫描病毒,而不是扫码和安装软件包内容,所以也被标记为“高危”。
这种抗病毒的应用是典型的“死后诸葛”。病毒出现后,开发者只需扩大黑名单,就可以象征性地检测并查杀病毒。但是,恶意应用程序可以通过更改名称(如“com”)轻松通过。作为一个安全的脸书安装包。
最有趣的是,他们的白名单里有讽刺的逻辑漏洞。有的会显示“不大赦查杀”状态,排除所有应用,都是恶意应用。还有的会自杀,认为自己是恶意应用,害怕开发者忘记把自己的程序列入白名单。
此外,AVC还指出,一些杀毒应用没有跟上Android的更新。随着Android升级到8.0版本,系统对后台应用的限制更加严格,从根本上控制了部分应用的后台运行。所以杀毒应用需要更新实时监控手机状态的方法。否则会出错,省略自动扫描新安装的应用,让恶意应用有机可乘。
2018年初,一个名为寄生推送(SDK)的恶意Android软件开发包会通过云控制在受感染的手机上推送广告和应用。其恶意代码可以绕过很多应用,感染300多个知名应用。主流安卓手机都会被感染,影响用户超过2000万。
面对这些隐藏的恶意代码,假冒的杀毒应用就会暴露出来。“发现假冒杀毒应用并不奇怪。我们之前已经发现了很多,人们一定意识到了这个问题。
面对这些无害但无效的杀毒应用,Google Store等平台采取的措施非常有限。如何提高筛选标准,同时防止恶意应用,提高应用的安全性和质量,对他们来说也是一大考验。
如果真的需要安装杀毒应用,可以参考本文开头的列表,选择迈克菲、赛门铁克、卡巴斯基等知名厂商的软件。其他大部分杀毒应用毫无价值,只能浪费手机内存。