安卓机超六成杀毒软件没用,有的甚至“杀自己”

安卓机 60% 的杀毒应用都没用,就问你怕不怕?

近日,知名计算机安全软件测试机构AV-Comparatives(AVC)发布了安卓平台杀毒应用的测试报告。经过50 多万次的测试之后,结果显示,超过60%的应用都是无用的。

在 250 个受测杀毒应用中,只有80 个通过了 AVC 的基础考核标准,即成功查杀了 2000 个恶意应用中的30%以上,获得满分的仅有23 个,除了McAfee、赛门铁克和卡巴斯基等知名品牌,腾讯的安全应用也位列其中。

至于剩下的 170 个应用,它们不仅满足不了基准测试,有的还会将无毒应用误杀,甚至把自己当成恶意应用。

图 | 获得满分的杀毒应用(来源:AVC)

研究团队表示,用来测试的恶意应用都是 2018 年比较常见的,测试环境不是安卓模拟机,而是使用了三星 Galaxy S9 手机,基于安卓 8.0 系统。不过由于一些杀毒应用不能在该系统下运行,他们不得不换成 Nexus 5手机和安卓 6.01 系统。

由于需要测试的恶意应用数量太多,AVC 使用了一套自动测试系统。首先该系统会打开 Chrome 浏览器,下载恶意应用的安装包(apk文件),然后安装和运行该应用。在这一过程中,杀毒应用被给予了充足的反应和提醒时间,如果它检测到并有效阻止了恶意应用,就算检测成功,否则就算为失败。

测试过程还包括一个误报测试,防止杀毒应用“滥杀无辜”,把所有的应用都当成恶意应用。每一次完成检测后,测试环境都会还原到无毒的初始状态。

在未能满足基准测试的应用中,AVC 发现了很多共同点,例如好多款应用来自于同一家公司,共享同一个杀毒引擎和 UI 界面,只是换了名字、logo、图标和颜色等元素。

图 | “换汤不换药”的杀毒应用(来源:AVC)

共享杀毒引擎不一定是坏事,很多公司都会租赁自家的杀毒技术或者推出多个版本,比如 Avast 旗下拥有 Avast、AVG 和 PSafe 三款应用,均达到了 100% 的杀毒率。但在最坏的情况下,有的公司甚至不是软件/网络安全公司,开发者也并非专业安全工程师,使用的引擎查杀效果很差。

在 AVC 进行测试的 2 个多月里,就有 32 款杀毒应用从谷歌 Play 商店中下架了。它们大多是业余企业开发的无价值产品。

还有很多应用的查杀率很高,却也被打上了“高风险”的标签,因为它们仅仅依靠“白名单”和“黑名单”扫描病毒,而非扫描代码和安装包内容。

此类杀毒应用是“事后诸葛”的典型,在一种病毒出现后,开发者只需要扩展黑名单,就可以象征性地查杀。但恶意应用只要改个名字,比如伪装成安全的 Facebook 安装包“com.facebook”,就可以轻松蒙混过关。

图 | 某杀毒应用的白名单(来源:AVC)

最有意思的是,它们的白名单存在让人啼笑皆非的逻辑漏洞。有的会出现“杀无赦”状态,将所有应用统统排除在外,全部视为恶意应用。有的则会出现“自杀”状态,将它自己视为恶意应用,怕是开发者忘了把自家程序放入白名单中。

除此之外,AVC 还指出一些杀毒应用存在没有跟上安卓系统更新的问题。随着安卓系统升级到 8.0 版本,系统对后台应用的限制更加严格,从根本上控制了一些应用的后台运行,因此杀毒应用需要更新实时监控手机状态的方式,否则就会出现 bug,遗漏对新安装应用自动扫描,给了恶意应用可乘之机。

2018 年初,有一个名为“寄生推”的恶意安卓软件开发工具包(SDK),会通过“云端控制”在被感染的手机上推送广告和应用。它的恶意代码可以绕过很多应用商店的检测,感染了 300 多款知名应用,主流安卓手机都会受到感染,影响用户超过 2000 万。

面对这种隐蔽的恶意代码,假的杀毒应用将会原形毕露。“找到虚假的杀毒应用并不奇怪,我们以前就曾发现过很多,人们必须意识到这一问题。” AVC 首席运营官 Peter Stelzhammer 表示。

面对这些本身没有危害,但也没有什么效果的杀毒应用,谷歌商店等平台采取的措施十分有限。如何提高筛查标准,在阻止恶意应用的同时,提升应用的安全质量,也是他们面临的一大考验。

如果真的需要安装杀毒应用,可以参考文章开头的列表,选择 McAfee、赛门铁克和卡巴斯基等知名大厂的软件,其余绝大多数杀毒应用都没有什么价值,只能浪费手机内存。