谷歌应对安卓市场进行检测 排查恶意软件

有安全专家表示,应该使用反病毒软件对谷歌软件市场进行大范围排查,及早发现那些看似合法,但实际上却捆绑了恶意软件的安卓应用程序,保护消费者的系统安全。

不久前,谷歌发现其谷歌软件店中存在大量包含恶意代码的软件,之后谷歌立即删除了这些伪装成合法软件的恶意程序。其中名叫DroidDream 的恶意软件使用安卓系统的两个漏洞盗取用户信息,如手机硬件ID号,手机型号等,并在手机中植入一个后门,以便日后自动下载和安装更多的恶意软件。

安全软件厂商Veracode 的首席技术官Chris Wysopal 表示:“起码来说,谷歌应该采用特征库的方式对已知恶意软件进行扫描。DroidDream只是一个恶意软件工具,任何稍有技术知识的人都可以利用这个工具开发出变种程序,并将其植入新的合法软件中。”

但是传统的基于特征库的反病毒软件无法检测出最新的恶意软件,同时已有的恶意软件有可能通过较大规模的变异而逃过反病毒软件的特征码扫描。为了在未来应对诸如DroidDream这样的恶意软件,Wysopal建议行业应该采用基于行为的反病毒软件对安卓程序进行排查。

他说:“只要是下载和安装来自厂商软件商店以外的所有应用程序,都应该事先通过反病毒软件扫描。”

谷歌的发言人承认公司已经删除了软件商店中的部分软件,并锁定了违反谷歌软件市场政策的几个开发人员账户,但拒绝提供其它相关信息。

Lookout 是一家为安卓,黑莓和WM系统开发手机安全软件和服务的厂商,其首席技术官Kevin Mahaffey 表示,在谷歌软件店中的55款程序中,大部分都被删除了,这意味着就算是很小心谨慎的用户,也很可能会下载到一款带有恶意代码的程序。(Symantec列出了谷歌软件店中被删除的程序清单here.)

有些版本的安卓系统目前已经安装了相应补丁,但是不是所有用户的安卓手机都安全了。Mahaffey表示,目前安卓2.3系统带有恶意软件补丁,另外Gingerbread也有,而更早版本的安卓系统仍然存在这个漏洞。

目前还不清楚DroidDream是否已经被下载到了所有设备上,或者已经感染了所有旧版安卓系统手机。 而与恶意软件进行通信,承担命令和控制任务的服务器目前已经离线,Mahaffey 表示“没有任何证据表明该服务器已经向被感染手机发送过其它恶意代码。”

因此,恶意软件的制造者也成了一个谜,但是有人认为应该是中国人,因为该恶意软件也在第三方应用市场中发现的,攻击对象是中国用户。

病毒的清理工作可能会很痛苦,除了要删除所下载的程序外,可能还要将系统中其它可能被感染的程序删除。Mahaffey表示,Lookout公司将帮助那些需要协助完成该工作的安卓手机用户。

Lookout 公司认为,谷歌软件市场相当繁荣,其软件增长速度远高于苹果的iPhone软件市场。据尼尔森的最新统计,在美国,安卓系统的市场份额达29%,也高于苹果iOS和黑莓系统(后两者市场占有率均为27%)。

专家认为,安卓系统的成功,主要应该归功于其开源性质,正是这种性质吸引了大批软件开发人士为其提供应用软件。开放的环境带来了更多的创新,但同时也将安全责任更多的推到了消费者身上。(点击这里可以看到安卓系统和苹果系统在安全模型上的差异here)

Wysopal举了个例子, iPhone环境就好像是迪士尼乐园,而安卓环境就像是纽约城。在迪士尼乐园里,你可能没有足够大的自由和选择性,但是你会觉得更有安全感。

Wysopal 说:“对于那些不懂技术的消费者来说,如果手机被病毒感染,他们起码应该知道如何让手机系统恢复到出厂状态。”如果由此需要,苹果可以给所有手机用户发送警告信息,而安卓系统则无法实现,因为市面上的安卓系统版本繁多,采用安卓系统的手机型号更多达上百款,无法统一控制。

这可能是谷歌第一次从软件店中删除恶意软件,但并不是第一次将程序下架。去年,有两款用于示范软件是如何简单分发的概念程序被发现可被恶意程序利用,因此被谷歌从多种系统中删除。去年晚些时候,谷歌又将同一个开发人员所开发的测试程序下架,因为其证实了安卓手机框架存在的一个安全漏洞,该漏洞会导致用户在不知情的状况下被安装其它软件。同时,谷歌也修复了该漏洞。