移动上网病毒防不胜防,Android手机用户可能想到下载杀毒强化手机安全。不过一项研究显示,连Google官方的Play Store上的杀毒软件或反恶意程序软件,仅三分之一具备一定水准的防护能力,其他的不是伪造程序,就是没什么效果,更有24%属于不安全的程序。
国际独立测试机构AV-Comparatives今年一月针对Google Play Store上250款反恶意程序app做了测试。研究团体让所有app在同样条件下侦测新近2000只恶意程序样本,并判断这些app的侦测结果。通过自动化工具,每支app都做了2000次。
测试结果中,有80款app对恶意app侦测率超过30%,列入前列。包括MalwareBytes、AVG、Avast、Avira、Bitdefender、Qihoo、ESET、F-Secure、Sophos、TrendMicro、卡巴斯基、McAfee以及Google Play Protect等都上榜了。
但是研究团队发现有138款程序侦测率不到30%,或误判率很高,会将干净程序误判为病毒。有些程序是单纯因为不当实例第三方扫瞄引擎而有bug。研究发现,有些防恶意程序app并未实验扫瞄下载程序的程序代码,只是比对白名单/黑名单,而且只扫瞄封装名称。如果程序的封装名称未被加入到白名单中,则它检查的每个程序都会被认定为恶意程序。恶意程序只要封装程序内有合法名称,如“com.adobe”,就以躲过这些app的侦测。
有些app只能抓得到很旧的Android恶意程序样本,这是因为Google自Android 8 (Oreo)后限制app背景执行,这使反恶意程序app必须改成检查Android 的“封装添加广播”(Package Added Broadcasts)来侦测新安装的程序。如果没来得及改,就会无法抓到最新恶意程序,有这问题的也不乏某些知名大厂。
研究人员也发现,这些很弱的app UI往往很类似,只有颜色不同而已,显然是套用了相同的版型。
有相当比例的“反恶意app”本身就是被优良安全防护app侦测为有问题的程序,不是木马程序、可疑或假杀毒恶式,就是垃圾软件。有61家(24%)开发商被研究团体列为高风险。它们其中大部分可能未来几个月内就会被Google发现而移除。
过去二个月内已有32款app伪造或唬人的反恶意程序遭Google移除,包括Taobao、Weather Radar Forecast等。
研究人员指出,多数高风险app是来自业余开发人员或非安全业界的厂商,后者多半是从事广告业,或只是想用安全软件打知名度。前者则可从Google Play Store的作者联系信息来判断。一般业余开发人员不会提供公司网址,只有Gmail或Yahoo等电子邮件信箱。这些app大部分也不会有任何隐私政策。 Google Play Store禁止没有隐私政策的app,以避免用户下载到品质低落的产品。
但研究人员也说,也不是所有业余开发人员开发的app就一定没效果。