何以扫描不出恶意软件 安卓杀毒软件横评

ZDNET至顶网安全频道 10月18日 编译:总会有不少读者询问,他们的安卓系统上安装的安全软件是否真正有效?因为他们从没用安全软件扫描出任何恶意软件。

安全领域的专业人士,包括我在内,一直被要求在所有能够联网的设备上开发各种病毒防护软件,包括智能手机上可用的安全软件。而手机平台上已经开发出来的安全软件没有扫描出恶意软件,确实有些奇怪。

思考再三,我总结出了产生这种现象的几点假设的原因:

· 手机系统上没有恶意软件

· 黑客们没跟上时代潮流

· 目前手机技术已经很好了,不需要安全软件也能保证安全

· 安全软件效果不佳,扫描不到恶意软件

前两条假设很容易排除,因为:

· 目前已经有针对安卓固件的恶意软件了。

· 黑客们比我们想象的聪明

那么后两种假设的可能性呢?我决定像专业测试机构一样进行一次测试。为了进行这次测试,我特意把大学里有关评测方面的教科书找了出来,尽管很多测试理论都是70年代的,但是现在看来也并不是特别过时。

复习了一会儿,我大学学过的那些有关测试的知识都回来了,不过我也发现要进行精确的评测,是个非常复杂的事儿。不过别担心,我有办法。

我的计划

我的计划就是:把William叫来帮忙。不错吧?在跟他解释了这次评测的方法和目的后,他提出了一个问题,让我一下子清醒了,他说:“Michael,我很乐意帮你,但是你要先给我找到一些安卓系统上的恶意代码。”

他这一句话,让我脑中忽然浮现出了一个奇怪的场景:我身穿黑斗篷,手持匕首,潜入所谓的“数字黑社会”,盗取他们开发的用于安卓系统的恶意代码。“我会想办法解决这个问题的。”我回答William。

第二天,我经过思考,决定放弃那个类似于科幻片的行动,而是去联系伯克利大学的一个天才女博士生Adrienne Porter Felt。她对于安卓的一切都相当了解。实际上,以前 Adrienne 曾经多次帮助我和William撰写有关安卓系统的文章。

我给Adrienne打了电话,她说给我恶意代码的样本没问题,但是好像她对于我能否安全的处理这些样本有些怀疑。于是我把William搬了出来,她这才放心了。真让我郁闷。

William的问题解决了,测试即将展开–起码我是这样计划的。

安卓的不同面孔

临测试前,我才发现,现在市场上有各种版本的安卓系统,使用安卓系统的手机也相当多。问题来了:我该使用哪种手机,更重要的是使用哪个版本的安卓系统进行杀软的评测?于是我又回去翻看有关评测方法的教科书,希望找到答案。不过很快我又有了另一个计划。

我打电话给William,然后问了一个非常精妙的问题:“你们现在都用什么手机进行评测啊?”

William告诉我:“我现在有两个安卓手机,一个是安卓2.1系统的HTC Hero,还有一个是安卓2.3.4系统的Nexus One”。

“那我们就用这两个手机进行杀软评测吧!”我建议。

William 也认为我的选择是正确的,尤其是选择Nexus One作为评测用机,他说:

“Nexus One是Google针对‘开发人员’推出的设备,由HTC代工。机器本身没有加锁,也没有与运营商绑定。算是目前市场上专门针对开发人员推出的几款产品之一。由于操作系统是完整的,没有任何运营商添加的累赘功能,因此安卓手机软件开发人员也非常喜欢用这款手机作为软件测试用机。另外,Nexus One也不是过于昂贵或难以购买,因此作为测试用机非常合适,可用于各种手机软件产品的测试。”

第一轮测试

William 和我决定先解决我开头提到的那四个假设中的第三个,即“目前手机技术已经很好了,不需要安全软件也能保证安全。”

首先我要介绍我采用的恶意软件样本,即Android.DogoWar:

“这是一款针对安卓系统平台的木马程序,可以利用被感染的手机,向手机电话簿中的全部联系人发送SMS短信。这个木马是恶作剧程序Dog Wars的一个重新打包版本,可以从网上下载到,并通过手动安装到手机中。”

William觉得这是个很好的恶意代码范本,因为其中大部分代码都比较新(2011年8月15日被发现),而且对他提供的测试用机的系统永久性伤害最低。

William 是实施测试的具体人员,我只要等着结果就好了。最后, William 发邮件给我说:

“我安装了被感染的软件,装好后,恶意代码发动的攻击马上就开始了。”

由此推翻了我的第三条假设 — 目前的手机操作系统技术并不足够安全。现在就剩下最后一条假设了:安全软件效果不佳,扫描不到恶意软件。

选择哪些安全软件?

William 和我在这个问题上纠结了很久,最终我也没明白我们为什么要选择这些安全软件。所以我只好把各个软件自己的销售宣传内容总结一下给大家参考。

AVG Antivirus for Smartphones & Tablets: 可自动检测有害的SMS短信和手机程序。Anti-Virus 免费版可以实时保护您的手机免受病毒、恶意软件、和漏洞攻击。

Lookout Mobile Security: Lookout 的免费安全工具获得过安全&反病毒大奖,具有反病毒、号码定位、手机数据备份等多种功能。

McAfee Mobile Security: 是一个强大的软件套装,包含了针对安卓系统的 McAfee VirusScan Mobile, McAfee WaveSecure, 以及 McAfee SiteAdvisor产品。该套解决方案可保护您手机丢失后的数据安全,可对手机中的个人数据进行备份和恢复,防止手机病毒和间谍软件入侵手机,让您通过手机上网更加安全。

Norton Mobile Security Lite:具有恶意软件防护功能和手机丢失后的数据保护功能。具有诺顿特有的反恶意软件、反病毒和手机安全技术。Norton Mobile Security Lite for Android可以确保您手机中的数据安全。

Trend Micro Mobile Security-Personal Edition: 这是您数字生活中最好的安全防护产品。可以保护您的Android设备免遭恶意软件和网络攻击的威胁,同时具有丢失后数据保护的功能。

我们所选的以上安全产品都有免费版和收费版之分,而我们测试采用的都是免费版 (AVG, Lookout, 和 Norton)以及试用版 (McAfee 和 Trend Micro)。

William的测试

William 设计了一系列测试,包括上面提到的恶意软件DogoWar测试。每个测试都在两部测试用机上分别进行,每次测试,手机中都只安装一种安全软件,因为多种安全软件同时安装在一部手机中,会影响测试结果。

下面我会列出每个测试的说明和相应的测试结果。

DogoWar: 手机重启后,会有一个名为com.dogbite.Doghouse的恶意服务启动,并建立名为com.dogbite.Rabies的服务。这个服务会查找所有带有手机号码的联系人,并向这些号码发送SMS短信。然后这个恶意服务会向73822这个号码发送硬件编码的SMS,继续利用人类善待动物组织的免费SMS短信服务招揽潜在的受害者。

何以扫描不出恶意软件  安卓杀毒软件横评

无害程序(重打包名为DogoWar): 这个测试使用了一个在屏幕上显示“Hello world!”的无害程序。与上面提到的DogoWar唯一的相同点就是程序的名字。如果杀软将这个程序列为恶意程序,将被看做是一种误判。

何以扫描不出恶意软件  安卓杀毒软件横评

应用程序(被Rabies感染) :这个测试是模拟一个带有已知病毒的合法的未知程序,即将上面使用的无害程序“hello world”被com.dogbite.rabies恶意服务感染后再安装到手机中,查看各个杀软的效果。

如果杀软有所动作,说明它能够从合法的软件代码中找出恶意代码。目前电脑中的杀软主要采用启发式扫描的方法来实现这个功能。目前智能手机上的安全软件可能也会有这个功能,但是手机系统的硬件资源不一定能负担的起这种功能的资源需求。

何以扫描不出恶意软件  安卓杀毒软件横评

Adrienne的评论

我将上面的这些测试结果发给了我们的安卓技术指导,博士生Adrienne,她看过之后发来了下面这段评论:

“看上去这些杀软并不会对重新打包的DogoWar进行扫描,因为目前已知的DogoWar只有一种传播程序。可能杀软对于具有大量变种的恶意代码会有更精确的扫描方式。”

这对于William来说是个不错的提示,于是他又打算使用一个名为DroidDeluxe的恶意代码进行进一步的测试。

DroidDeluxe: 这是一个基于安卓系统的root exploit程序。它可以在用户不知情的情况下获取手机管理权限。

何以扫描不出恶意软件  安卓杀毒软件横评

无害程序(重新打包名为DroidDeluxe) 同样还是一个只能显示“Hello world!”的程序,我们将其重新打包命名为DroidDeluxe 。如果安全软件将其标记出来,说明是误判。

何以扫描不出恶意软件  安卓杀毒软件横评

DroidDeluxe (重新打包): 我们利用反汇编器对这个恶意软件进行重新打包,将其内部名称修改,但是其余代码不做任何变动。如果安全软件在扫描内部名称的同时也会扫描程序代码,就会发现DroidDeluxe病毒,否则就不会发现。

何以扫描不出恶意软件  安卓杀毒软件横评

William的点评

由于通过测试, William对于这几款安全软件有了相当的认识,我求他对于每个安全软件进行一些点评:

AVG:

· 该软件的扫描速度要慢于其它软件

· 加载文件系统后,AVG不会自动扫描SD卡中的文件

· 只扫描代码的内部打包名称,导致误判

· 只在软件安装过程中对软件进行扫描

· 无法有效检测重打包的恶意软件

· AVG 只检测恶意软件的打包名称

Lookout:

· 如果恶意代码不被安装,就无法将其检测出来。

· 用户界面超简洁。

· 有误判情况

· 可以检测出重新打包的恶意软件,说明它不止扫描代码的打包名称。

McAfee:

· 入侵式安装。试用版要求7天内注册。为手机增加SMS短信验证功能。

· 没有误报,能够截获抑制病毒,包括重新打包的恶意代码。

Norton:

· 非入侵式安装,但是安装过程有些繁琐

· 四个真正的病毒威胁只扫描到了一个

· 没有误报

Trend Micro:

· 软件最近重新修改过

· 新版本具有较好的用户体验

· 老版本还在网上流传

· 没有成功捕获一个威胁

Adrienne的评论

做完测试后,William和我都在忐忑的等待Adrienne的评论:

“安卓系统上的恶意软件相比台式机要稀少的多,但是最近也逐渐出现了。手机用户如果从非官方渠道下载应用软件,应该小心可能产生的安全问题,最好要安装一个安全软件。

你们的测试结果表明安卓系统上的恶意软件扫描是一个比较新的领域,并不是所有知名品牌的安全产品在手机平台都能取得良好的效果。

从技术角度讲,目前手机安全软件面临的一个问题是如何识别合法程序中重新打包的恶意代码。我们目前看到市面上传播的很多恶意代码都是通过这种方式进行传播的,因此这方面的扫描技术要加强。

不过这个问题也确实不好处理,因为安全软件也需要避免过多的误判,如果采用启发式查毒,将正常的程序误判为病毒,用户也会觉得产品不够聪明和可靠。在这方面我也和同事们一起正在研究,希望未来几个月后会有有效的解决方案。”

总结

首先我要感谢那些安卓系统安全软件的开发人员。通过这次测试,我认识到了他们对于安卓平台所作的努力和取得的成果。

而之所以要做这个评测,也是William和我出于对所有使用手机安全产品的用户负责的原因,希望大家不要误以为手机安全软件只是摆设。