安卓機(jī)超六成殺毒軟件沒(méi)用，有的甚至“殺自己”

安卓機(jī) 60% 的殺毒應(yīng)用都沒(méi)用，就問(wèn)你怕不怕？

近日，知名計(jì)算機(jī)安全軟件測(cè)試機(jī)構(gòu) AV-Comparatives（AVC）發(fā)布了安卓平臺(tái)殺毒應(yīng)用的測(cè)試報(bào)告。經(jīng)過(guò) 50 多萬(wàn)次的測(cè)試之后，結(jié)果顯示，超過(guò) 60% 的應(yīng)用都是無(wú)用的。

在 250 個(gè)受測(cè)殺毒應(yīng)用中，只有 80 個(gè)通過(guò)了 AVC 的基礎(chǔ)考核標(biāo)準(zhǔn)，即成功查殺了 2000 個(gè)惡意應(yīng)用中的 30% 以上，獲得滿分的僅有 23 個(gè)，除了 McAfee、賽門鐵克和卡巴斯基等知名品牌，騰訊的安全應(yīng)用也位列其中。

至于剩下的 170 個(gè)應(yīng)用，它們不僅滿足不了基準(zhǔn)測(cè)試，有的還會(huì)將無(wú)毒應(yīng)用誤殺，甚至把自己當(dāng)成惡意應(yīng)用。

圖 | 獲得滿分的殺毒應(yīng)用（來(lái)源：AVC）

研究團(tuán)隊(duì)表示，用來(lái)測(cè)試的惡意應(yīng)用都是 2018 年比較常見(jiàn)的，測(cè)試環(huán)境不是安卓模擬機(jī)，而是使用了三星 Galaxy S9 手機(jī)，基于安卓 8.0 系統(tǒng)。不過(guò)由于一些殺毒應(yīng)用不能在該系統(tǒng)下運(yùn)行，他們不得不換成 Nexus 5手機(jī)和安卓 6.01 系統(tǒng)。

由于需要測(cè)試的惡意應(yīng)用數(shù)量太多，AVC 使用了一套自動(dòng)測(cè)試系統(tǒng)。首先該系統(tǒng)會(huì)打開(kāi) Chrome 瀏覽器，下載惡意應(yīng)用的安裝包(apk文件)，然后安裝和運(yùn)行該應(yīng)用。在這一過(guò)程中，殺毒應(yīng)用被給予了充足的反應(yīng)和提醒時(shí)間，如果它檢測(cè)到并有效阻止了惡意應(yīng)用，就算檢測(cè)成功，否則就算為失敗。

測(cè)試過(guò)程還包括一個(gè)誤報(bào)測(cè)試，防止殺毒應(yīng)用“濫殺無(wú)辜”，把所有的應(yīng)用都當(dāng)成惡意應(yīng)用。每一次完成檢測(cè)后，測(cè)試環(huán)境都會(huì)還原到無(wú)毒的初始狀態(tài)。

在未能滿足基準(zhǔn)測(cè)試的應(yīng)用中，AVC 發(fā)現(xiàn)了很多共同點(diǎn)，例如好多款應(yīng)用來(lái)自于同一家公司，共享同一個(gè)殺毒引擎和 UI 界面，只是換了名字、logo、圖標(biāo)和顏色等元素。

圖 | “換湯不換藥”的殺毒應(yīng)用（來(lái)源：AVC）

共享殺毒引擎不一定是壞事，很多公司都會(huì)租賃自家的殺毒技術(shù)或者推出多個(gè)版本，比如 Avast 旗下?lián)碛?Avast、AVG 和 PSafe 三款應(yīng)用，均達(dá)到了 100% 的殺毒率。但在最壞的情況下，有的公司甚至不是軟件/網(wǎng)絡(luò)安全公司，開(kāi)發(fā)者也并非專業(yè)安全工程師，使用的引擎查殺效果很差。

在 AVC 進(jìn)行測(cè)試的 2 個(gè)多月里，就有 32 款殺毒應(yīng)用從谷歌 Play 商店中下架了。它們大多是業(yè)余企業(yè)開(kāi)發(fā)的無(wú)價(jià)值產(chǎn)品。

還有很多應(yīng)用的查殺率很高，卻也被打上了“高風(fēng)險(xiǎn)”的標(biāo)簽，因?yàn)樗鼈儍H僅依靠“白名單”和“黑名單”掃描病毒，而非掃描代碼和安裝包內(nèi)容。

此類殺毒應(yīng)用是“事后諸葛”的典型，在一種病毒出現(xiàn)后，開(kāi)發(fā)者只需要擴(kuò)展黑名單，就可以象征性地查殺。但惡意應(yīng)用只要改個(gè)名字，比如偽裝成安全的 Facebook 安裝包“com.facebook”，就可以輕松蒙混過(guò)關(guān)。

圖 | 某殺毒應(yīng)用的白名單（來(lái)源：AVC）

最有意思的是，它們的白名單存在讓人啼笑皆非的邏輯漏洞。有的會(huì)出現(xiàn)“殺無(wú)赦”狀態(tài)，將所有應(yīng)用統(tǒng)統(tǒng)排除在外，全部視為惡意應(yīng)用。有的則會(huì)出現(xiàn)“自殺”狀態(tài)，將它自己視為惡意應(yīng)用，怕是開(kāi)發(fā)者忘了把自家程序放入白名單中。

除此之外，AVC 還指出一些殺毒應(yīng)用存在沒(méi)有跟上安卓系統(tǒng)更新的問(wèn)題。隨著安卓系統(tǒng)升級(jí)到 8.0 版本，系統(tǒng)對(duì)后臺(tái)應(yīng)用的限制更加嚴(yán)格，從根本上控制了一些應(yīng)用的后臺(tái)運(yùn)行，因此殺毒應(yīng)用需要更新實(shí)時(shí)監(jiān)控手機(jī)狀態(tài)的方式，否則就會(huì)出現(xiàn) bug，遺漏對(duì)新安裝應(yīng)用自動(dòng)掃描，給了惡意應(yīng)用可乘之機(jī)。

2018 年初，有一個(gè)名為“寄生推”的惡意安卓軟件開(kāi)發(fā)工具包（SDK），會(huì)通過(guò)“云端控制”在被感染的手機(jī)上推送廣告和應(yīng)用。它的惡意代碼可以繞過(guò)很多應(yīng)用商店的檢測(cè)，感染了 300 多款知名應(yīng)用，主流安卓手機(jī)都會(huì)受到感染，影響用戶超過(guò) 2000 萬(wàn)。

面對(duì)這種隱蔽的惡意代碼，假的殺毒應(yīng)用將會(huì)原形畢露�！罢业教摷俚臍⒍緫�(yīng)用并不奇怪，我們以前就曾發(fā)現(xiàn)過(guò)很多，人們必須意識(shí)到這一問(wèn)題�！� AVC 首席運(yùn)營(yíng)官 Peter Stelzhammer 表示。

面對(duì)這些本身沒(méi)有危害，但也沒(méi)有什么效果的殺毒應(yīng)用，谷歌商店等平臺(tái)采取的措施十分有限。如何提高篩查標(biāo)準(zhǔn)，在阻止惡意應(yīng)用的同時(shí)，提升應(yīng)用的安全質(zhì)量，也是他們面臨的一大考驗(yàn)。

如果真的需要安裝殺毒應(yīng)用，可以參考文章開(kāi)頭的列表，選擇 McAfee、賽門鐵克和卡巴斯基等知名大廠的軟件，其余絕大多數(shù)殺毒應(yīng)用都沒(méi)有什么價(jià)值，只能浪費(fèi)手機(jī)內(nèi)存。