250 Android antivirüs uygulamasını test ettikten sonra, uygulamaların üçte ikisi virüsleri öldüremez mi? !
Yazar | AV-Comparatives
Çevirmen | Tan Liangang
Editör | Tu Min
Üretildi | CSDN (ID: CSDNNews)
Aşağıdaki çeviridir:
Giriş2017 yılında, tanınmış bir yabancı anti-virüs yazılımı test şirketi olan AV-Comparatives, Android anti-virüs uygulamaları üzerinde bir test gerçekleştirdi.Bu test için fırsat: VirusShield adlı, mobil cihazlarda kötü amaçlı yazılım taraması yaptığını iddia eden bir Android uygulaması. bu doğru değil. Aslında, uygulamanın çalıştırılması, taramanın ilerlemesini temsil eden bir ilerleme çubuğu görüntüler ve ardından "taramanın" sonunda, cihazda kötü amaçlı uygulama bulunmadığını duyurur. Endişe verici bir şekilde, bu uygulama zaten Google App Store'da ve binlerce kullanıcı bunun için ödeme yaptı (Google sonunda parayı onlara iade etse de).
Geçen yılki test sonuçları, yalnızca bazı uygulamaların cihazı kötü amaçlı yazılımlardan koruyamadığını, hatta bazılarının şüpheli izleme mekanizmalarını etkinleştirdiğini gösterdi. Beyaz listedeki yazılım paketleri dışında, diğer çoğu anti-virüs yazılımının potansiyel olarak zararlı olduğu bulundu. Kullanıcı arayüzünün birkaç şablonla oluşturulabileceği göz önüne alındığında, bu anti-virüs uygulamalarının ana rolü, kullanıcının cihazını gerçekten korumaktan ziyade, geliştiricileri için kolayca gelir yaratmak gibi görünüyor.
Bu şüpheli uygulamalara ek olarak, testteki Android AV uygulamalarının yaklaşık% 40'ının kötü amaçlı yazılımları önlemede etkisiz olduğunu gördük.
Android kullanıcılarının gerçekten etkili ve şüpheli bir şekilde etkisiz Android antivirüs yazılımı arasında ayrım yapmasına yardımcı olmak için AV-Comparatives, 2019 Android testinde Android antivirüs uygulamalarının etkinliği konusunda başka bir test gerçekleştirdi.
test nesnesiBu testte, Google App Store'dan farklı geliştirme ekiplerinden 250 antivirüs ve güvenlik yazılımını aradık ve indirdik.
Aşağıdaki 80 uygulama, herhangi bir yanlış alarm olmadan kötü amaçlı yazılımın% 30'undan fazlasını algılayabilir :
Bununla birlikte, Android kötü amaçlı yazılım örneklerinin% 30'undan daha azını tespit edebilen ve Google App Store'daki popüler temiz dosyalar için yüksek yanlış alarm oranına sahip 138 marka virüsten koruma yazılımı vardır.
Bu uygulamaların riskli, yani faydasız veya güvenilmez olduğuna inanıyoruz. Bazıları, kötü bir üçüncü taraf motoru kullanmak gibi basit hatalardır. Diğerleri, bir avuç eski Android kötü amaçlı yazılım örneğini tespit edebilir ve belirli bir dizeyi içeren herhangi bir uygulamanın bazı hızlı kontroller aracılığıyla uygulama mağazası tarafından kabul edilmesine izin verebilir.
Aynı zamanda, yukarıdaki uygulamalardan bazıları Truva atları, şüpheli / yanlış AV'ler veya potansiyel olarak yararsız uygulamalar gibi birçok iyi bilinen mobil güvenlik uygulaması tarafından da tespit edilmiştir. Umarım gelecekte Google bunları Google App Store'dan kaldırabilir (ve Google'ın bu uygulamaların raflara konmasını önlemek için sertifikaların doğrulanmasını güçlendireceğini umuyorum). Ayrıca, markaların ve tüccarların, gerçekten etkili koruma hizmetleri sağlayana kadar uygulamaları bilinçli olarak kaldırmalarını öneririz.
Son iki ayda, aşağıdaki 32 marka antivirüs uygulaması Google Play Store'dan kaldırıldı:
antisecurity.inc, AppLocker Cleaner Booster, AppsNewLook, AVC Security, Bastiv, Big Fun Free Apps, Birina Industries, Cooler Technologies, Document Viewer 2019, Erus IT, GearMedia, Himlamo, koala security studio, LA Antivirus Lab, Mobile Antivirus Lab, Mobile Araçlar, NCK Corp, Ocean Developers, PICOO Design, Protection and Security for Mobile Lab, Rivalab, Secure Performance Dev, Smart bapp, Taobao, Top Maxi Group, TrustPort, Vasa Pvt, Vasonomics, Vitekco, wallpaperdus, Weather Radar Forecast ve zeeworkers
Yukarıdaki uygulamaların çoğu veya yukarıda bahsedilen yüksek riskli uygulamaların amatör geliştiriciler veya profesyonel olmayan güvenlik yazılımı geliştiricileri tarafından geliştirilmiş olduğu görülmektedir. Profesyonel olmayan güvenlik yazılımı geliştiricileri çeşitli uygulamalar geliştirirler.Reklam / para kazanma işiyle uğraşırlar ve tanıtım amaçlı olarak kendi markalarının bir Android koruma uygulamasına sahip olmak isteyebilirler. Google Play Store'da amatör geliştiriciler tarafından geliştirilen uygulamalar, yazar bilgileri görüntülenerek tanımlanabilir. Genel olarak, hobi geliştiricileri web sitesi adreslerini değil, yalnızca e-posta adreslerini (genellikle Gmail, Yahoo vb.) Sağlar. Ayrıca, bu uygulamaların çoğu herhangi bir gizlilik politikası sağlamayacaktır. Google, gizlilik politikası olmayan tüm uygulamaları uygulama mağazasından kaldırmaya çalışır, bu da düşük kaliteli uygulamaların temizlenmesine yardımcı olur. Tabii ki amatör geliştiriciler tarafından geliştirilen tüm uygulamalar işe yaramaz.
Test süreciTest sistemine giriş
Android güvenlik uygulamalarının etkinliğini 2018'de en yaygın 2000 Android kötü amaçlı yazılımının korunması yoluyla doğruluyoruz. 250 antivirüs yazılımının 2000 virüse karşı koruma etkisini manuel olarak test etmek pratik değildir. Bu nedenle, bu test otomatik bir Android test çerçevesi üzerinde gerçekleştirilir.
Test süreci otomatik olmasına rağmen, çerçeve gerçek dünya senaryolarını simüle edebilir. Fiziksel bir Android cihazda (bir emülatörden farklı) test etme ve gerçek bir cihazın kullanım modunu simüle etme dahil.
Çerçeve iki bileşenden oluşur: istemci uygulamaları ve her test cihazındaki sunucu uygulamaları. İstemci uygulaması, cihazın durumunu izler ve test sürecini kaydetmek için bir test senaryosunun sonunda sonucu sunucuya gönderir. Müşteri uygulamaları, dosya ve süreçlerdeki, yeni kurulan uygulamalardaki ve bunların izinlerindeki değişiklikleri izler ve yüklü güvenlik yazılımının cihazdaki kötü niyetli davranışa tepkisini izler. Sunucu uygulaması, test ekipmanını Wi-Fi aracılığıyla uzaktan kontrol eder ve istemci uygulaması tarafından gönderilen test sonuçlarını almak için düzenler.
Sistem, bağlı müşteri uygulamalarının sayısını iyi bir şekilde ölçebilir. Bu, çok sayıda güvenlik uygulamasının paralel testi için koşullar sağlar. Test edilen tüm uygulamaların eşit fırsatlara sahip olmasını ve müşteri uygulamalarına aynı anda bağlanabilmesini sağlamak için aynı test senaryosunu aynı anda yürütürüz. Bu, özellikle güvenlik geliştiricileri tarafından karşılaşılmamış olabilecek en son kötü amaçlı yazılım örneklerini test etmek için önemlidir.
Test prensibi
Test Ocak 2019'da gerçekleştirildi ve ağırlıklı olarak Samsung Galaxy S9 cep telefonunun Android 8.0 sistemini (yani "Oreo") kullandı. Bazı güvenlik uygulamalarının Android 8.0 sistemi altında normal şekilde çalışamayacağı göz önüne alındığında, bunun yerine Nexus 5 cep telefonunun Android 6.01 işletim sistemi kullanılmaktadır (ayrıntılar için aşağıya bakın). Her güvenlik uygulamasını ayrı bir fiziksel test cihazına kurun. Testin başlamasından önce, tüm test cihazlarının (Android sisteminin kendisi, test edilecek Android uygulaması ve test edilen üçüncü taraf uygulaması) test yatağı en son sürüme güncellenir. Ardından, test sisteminin durumunu stabilize etmek için otomatik güncellemeleri kapatın. Daha sonra test edilecek uygulama belirli bir cihaza yüklenir ve çalıştırılır, mümkünse en son sürüme güncellenir ve kötü amaçlı yazılımın tanımı tamamen güncellenir.
Güvenlik uygulaması, kullanıcıları cihaz güvenliğini sağlamak için ilk tarama gibi belirli işlemleri yapmaya teşvik ediyorsa, bunu yapın. Uygulama, yükleme sırasında tarama, bulut koruması veya potansiyel olarak istenmeyen uygulamaları (PUA) algılama gibi ek koruma işlevlerinin etkinleştirilmesini sağlarsa, bu işlevler de etkinleştirilecektir.
Bu adımlar gerçekleştirildikten sonra, her aygıtın depolamasının temiz bir anlık görüntüsü oluşturulur ve test başlar.
Her test senaryosu aynı adımda oluşturulur:
1. Google Chrome'u açın ve kötü amaçlı örnekler indirin;
2. İndirilen .apk dosyasını dosya gezgini ile açın;
3. Kötü amaçlı yazılım yükleyin;
4. Test edilen uygulamayı çalıştırın.
Yukarıdaki adımların her birini tamamlama sürecinde, test edilecek yüklü uygulamanın, kötü amaçlı örneği analiz etmek ve cihazdaki kötü niyetli davranışı kullanıcıyı bilgilendirmek için yeterli zamanı vardır.
Test olayının yürütülmesi sırasında, virüsten koruma uygulaması kötü amaçlı bir örnek tespit edip engellerse, "tespit edilmiş" kabul edilecek ve test durumu sonlandırılacaktır.
Her test senaryosunun sonunda, cihazın durumu da sıfırlanacaktır. Cihazdaki kötü amaçlı örnek yürütülmezse, örnek cihaz belleğinden kaldırılır veya silinir. Kötü amaçlı örnek yürütülmüşse, bir sonraki test durumu yürütüldüğünde temiz aygıt anlık görüntüsü geri yüklenir.
Her uygulamanın koruma etkisini değerlendirirken, kötü amaçlı örneğin yakalandığı aşamayı, yani indirme, yükleme veya çalıştırma sürecini dikkate almıyoruz. Koruma oranını etkileyen tek faktör, güvenlik uygulamasının cihazı kötü niyetli örneklerden koruyup korumadığıdır.
Anti-virüs yazılımının, sistemi "korumak" için tüm uygulamaları yalnızca kötü amaçlı programlar olarak değerlendirip değerlendirmediğini doğrulamak için, temel bir yanlış alarm testi yaptık.
Test durumuTest, 2018'de en yaygın 2.000 Android kötü amaçlı yazılımını kullandı. Gerçekten etkili bir antivirüs uygulaması için, bu örneklerin tespit oranı% 90 -% 100 kolayca.
Bu test projesinde 500.000'den fazla test işlemi gerçekleştirildi.
Yukarıdaki tablo, numuneler için% 30'dan fazla koruma oranına sahip 80 uygulamayı göstermektedir. Kötü amaçlı Android örneklerine karşı% 30'dan daha az koruma oranına sahip AV uygulamaları geçersiz / güvenli değildir.
2000 kötü amaçlı Android uygulaması için tespit oranı% 30'un altında olan antivirüs yazılımı yukarıdaki tabloda gösterilmemiştir. Biri formların sınırlı alanı, diğeri de geçersiz / güvensiz kabul edilmeleridir.
Deneme kaydıBazı uygulamalar başka geliştiricilerin motorlarını kullanır (aşağıdaki örneklere bakın). Aynı geliştiricinin bazı motor ürünleri aşağı yukarı aynıdır, ancak bazıları olmayabilir. Lisanslı geliştiricilere göre bunun nedeni, farklı dahili ayarlar kullanan üçüncü taraf uygulamalar, eski motorlar veya farklı yardımcı motorlar, motor aktivasyonu ve hata raporlama gibi çeşitli faktörler olabilir.
- APUS Group, Asuizksidev, Bit Inception, CAP Lab, Clean Boost + Studio, Fotoable, HyperSpeed, IOBit, LBE, ONE App, Phone Clean Apps, Power Tools Apps, Smooth AppsStudio Super Cleaner Studio, Super Security Studio, We Make It Appen tarafından geliştirilmiştir. Ekip tarafından geliştirilen uygulama Antiy'nin OpenAVL tarama motorunu kullanıyor.
- Max Dev Labs, Tencent'in tarama motorunu kullanıyor.
- Hi Security, McAfee'nin tarama motorunu kullanır.
- Brainiacs, BSafe Labs ve MyMobile Security, Ikarus'un tarama motorunu kullanır.
- AVG ve PSafe, Avast kullanıyor, çünkü AVG ve Avast aynı şirkete ait olduğundan, mobil uygulamalarının görünümü ve izlenimi çok benzer:
- Chili Security, Emsisoft, eScan, REVE, STOPzilla, Total Defence ve VIPRE, Bitdefender tarafından geliştirilen motorları kullanır. Chili Security, Emsisoft ve Total Defense uygulamaları temelde Bitdefender'ın cep telefonu ürünleriyle aynıdır. Aşağıdaki ekran görüntüsüne bakın:
- MalwareFox, MyData, Watchdog Development, Zemana'nın tarama motorunu kullanır. Uygulama arayüzleri de çok benzer görünüyor.
Test süreci sırasında, birçok uygulamanın aynı şeyden, yakından ilişkili ilişkilerden geliştiğini veya aynı "AV uygulama şablonunu" kullandığını gördük. Bazı durumlarda, aralarındaki tek fark isim, ticari marka ve renk şemasıdır. aşağıdaki gibi:
- En İyi HD Duvar Kağıtları APPS, Booster studio ve Media Master MD
- Asuizksidev, Bit Inception, Brainiacs, My Android Antivirus, Pro Tool Apps, Set Max ve We Make It Appen
- Amigos Anahtarı, Bulletproof AV, Cloud 7 Hizmetleri, Ana Kaynak 365, Mobile Tools Plus ve ShieldApps
- Büyük Eğlence Ücretsiz Uygulamalar ve Xtechnoz Uygulamaları
- Amantechnoapps, fluer-apps, Kolony Cleaner, NCN-NetConsulting ve Vainfotech
- AZ Süper Araçlar ve DreamBig Studios
Yukarıda test nesnesi bölümünde bahsedildiği gibi bazı uygulamalar riskler nedeniyle sonuç listesine yansıtılamamaktadır. Kötü amaçlı yazılımların tespit oranı çok düşük olduğu için bunların yarısı hariç tutuldu. Diğer yarısı testte çok sayıda kötü amaçlı örnek tespit etse de, bunlar hala riskli olarak kabul edilmektedir; bu sonucu bir sonraki bölümde ayrıntılı olarak açıklayacağız.
Bu uygulamaların dosya paketlerini açarken, "varlıklar" alt klasöründe "beyazList.json" adlı şüpheli bir metin dosyası bulabiliriz. Aşağıdaki şekil, bu tür bir dosyanın içeriğinin bir kısmını göstermektedir:
{ "veri": }"WhiteList.json" dosyasının içeriği yanlış alarm testinde bulunan sonuçlarla tutarlıdır: paket adları beyaz liste listesiyle eşleşen uygulamaların tümü "AV uygulamaları" tarafından "güvenilir uygulamalar" olarak kabul edilir. Örneğin, paket adı "com.adobe. *" Olan bir beyaz liste, paket adı "com.adobe" ile başlayan tüm uygulamalarla eşleşir. Bu, Adobe tarafından geliştirilen uygulamaların (Acrobat Reader gibi) güvenli kabul edildiği anlamına gelir. Bu mekanizma, herhangi bir kötü amaçlı uygulamanın "com.adobe" paket adını kullanarak güvenlik taramasını atlamasına da izin verir.
İlgili beyaz listelerindeki uygulamalar dışında, yüksek riskli "AV uygulamaları", bu uygulamaların resmi Google App Store'dan yüklenip yüklenmediğine bakılmaksızın hemen hemen tüm diğer uygulamaları engeller. Ve bazıları beyaz listeye paket adları ekleme zahmetine bile girmedi, bu da kendi programlarının uyarılarına neden oldu. AV uygulamalarının "dışlama beyaz listesi" ilkesi nedeniyle, AV uygulamalarını kullanan kullanıcılar, cihazlarındaki diğer uygulamaların kötü amaçlı olup olmadığını belirleyemezler. Bu nedenle, bu uygulamaların koruma yeteneklerinin sınırlı olduğuna inanıyoruz.
Aynı "algılama" mekanizmasını kullanmanın yanı sıra, bu uygulamaların kullanıcı arayüzleri de çok benzer görünüyor. Genellikle yalnızca renkler farklıdır. Bu uygulama türü esas olarak birkaç farklı düzenden birini kullanır:
Yukarıdaki uygulamaların riskli olduğuna inanıyoruz ve hepsi aşağıdaki 61 geliştirme ekibi tarafından geliştirildi:
1Machine System Sdn Bhd, actionappsgamesstudio, Antivirus Mobile Lab, appflozen, AppLocker Cleaner Booster, AppsNewLook, appsshow, AS team security phone Lab, AVC Security Joint Stock Company, Ayogames, azemoji studio, bESapp, Best Battery Apps, brouno, Caltonfuny Antivirus Phone, Chromia, Core Antivirus Lab, CPCORP TEAM, CreativeStudioApps, electro dev, Fast n Clean, FrouZa, GameXpZeroo, GlobalsApps, kullanışlı araçlar uygulamaları, jixic, lempea, MAN Studio, Marsolis Tech, MaxVV, Mobile Antivirus Lab, Mobtari, Mond Corey, Mondev44 , MSolutions, MSYSOFT APPS, My Android Antivirus, Niulaty, NPC Studios, Ocean Developers, Omha, Oxic Studio, Pix2Pic Studio, playyourapp, prote apps, Protector and Security for Mobile, Radial Apps 2018, Security and Antivirus for Android çözümleri, Security Apps Team, SecurityApplock, Smart bapp, Smart Battery Solution ve Creative Screen Lock, stmdefender, Tokyo Tokyo, Tools dev, android için araçlar, Utilitarian Tools, Virtues Media and Applications, Wingle Apps, XZ Game ve zeeworkers.
Android 8'in gerçek zamanlı korumasıAndroid 8 sürümünden ("Oreo") başlayarak, Android arka planda çalışan uygulamalara daha katı kısıtlamalar getirdi. En son resmi günlüğe göre, bu yaklaşım RAM gibi cihaz kaynaklarının aşırı kullanımını önlemek içindir.
Bu güncelleme ayrıca, uygulamanın Android Oreo sisteminin işletim sistemi tarafından gönderilen sistem olaylarına yanıt verme şeklini değiştirmesini gerektiren bazı değişiklikler yaptı ("örtük yayın"). Bu değişikliğin, Android AV uygulamalarının gerçek zamanlı koruma özellikleri üzerinde de etkisi vardır, çünkü bunlar hangi sistem olayının alındığına bağlıdır. AV uygulamaları, yeni kurulan uygulamaları kontrol etmek ve taramak için "paket ekle" yayın modunu kullanır.
Bazı AV uygulama geliştiricileri (bazı "ana" geliştiriciler dahil) bu değişikliği görmezden geliyor gibi görünüyor. Bu, uygulamanın gerçek zamanlı koruma işlevinin yeni yüklenen uygulamayı kaçırmasına neden olarak işlevi kullanışsız hale getirir. Uygunsuz işlemler, Android günlük kaydı aracı logcat'te görülebilir:
W BroadcastQueue: Arka planda yürütmeye izin verilmez: Amaç alma {act = android.intent.action.PACKAGE_ADDED}
Aşağıdaki geliştirme ekipleri, uygulamalarını Android Oreo sistemine düzgün bir şekilde taşımadı: AZ Tools, CHOMAR, Defenx, GOMO Apps, IObit, eScan, PSafe, REVEAntivirus, supermobilesafe, Systweak, TG Soft, Trustlook, Trustwave, Vainfotech, VHSTUDIO, Z Team Pro.
İlk olarak (Ocak-Şubat) Qihoo 360 uygulamasında da bu sorun vardı. Ancak rapor Mart ayında yayınlandığında çözüme kavuşturmuşlardı.
Bu sorun, isteğe bağlı tarama uygulamasının koruma işlevini etkilemez. Ancak testlerimiz gerçek zamanlı tespit üzerine odaklandığından, bu uygulamaları Android 6'da test etmeye karar verdik.
sonuç olarakTestlerimizde, bazı Android güvenlik uygulamaları çok az sayıda kötü amaçlı örneği ele geçirdi - bazı durumlarda hiçbiri - bu nedenle antivirüs uygulamaları olarak gerekçelendirilemezler. Geçen yıla kıyasla, bu yıl daha fazla uygulama, algılama mekanizması olarak yalnızca kara / beyaz listeyi kullanıyor. Aslında, bu yıl 46 uygulama daha test etmemize rağmen, "kullanılabilir" olarak kabul edilen uygulama sayısı aynı kaldı. Test edilen uygulamaların% 55'i kötü amaçlı yazılımlara karşı etkisizdir. Ayrıca, 16 uygulamanın Android 8'e düzgün bir şekilde taşınmadığını ve bu da yeni Android sürümünde korumalarını azalttığını gördük.
Testte 23 uygulama kötü niyetli örnekler için% 100 tespit oranına sahip. Bunlar 2018'de en yaygın Android kötü amaçlı yazılımları olduğu için bu etkinin sağlanması gerekiyor. Düzenli olarak bağımsız testlere katılan geliştiricilerin çoğu, uygulama ürünleri düzenli olarak gözden geçirildiği için yüksek puanlara sahiptir ve bu nedenle, ürünün etkinliğini sağlamak için aktif olarak geliştirme yapacaklardır.
Bir Android güvenlik uygulaması seçerken aşağıdaki faktörleri göz önünde bulundurmanızı öneririz. Açıkçası, kullanıcının derecelendirmesine atıfta bulunmak mümkün değildir, çünkü kullanıcıların büyük çoğunluğu yalnızca kullanıcı deneyimine göre derecelendirecektir, uygulamanın gerçek etkili koruma sağlayıp sağlamadığından emin değildir. Diğer bazı yorumlar sadece geliştiriciler tarafından uydurulmuştur. Google App Store'da araştırdığımız 250 uygulamanın çoğu 4 puandan az olmadı. Benzer şekilde, indirme sayısı da çok güvenilmez bir referanstır; Başarılı bir sahte uygulama, defalarca indirildikten sonra bir çukur olarak bulunabilir. "Son güncelleme" tarihi de iyi bir gösterge olmamalıdır, çünkü birçok düşük puanlı uygulamada nispeten yeni güncelleme tarihleri vardır.
Yukarıdaki hususlar için, yalnızca tanınmış, sertifikalı ve saygın geliştiricilerin uygulamalarını kullanmanızı öneririz. Bağımsız test kurumlarının testlerine katılmanın yanı sıra, iletişim bilgileri ve gizlilik politikaları içeren profesyonel web siteleri de açacaklar. Satın almadan önce, kullanıcılar uygulama için birkaç hafta deneme süresi alabilir. Daha sonra kullanıcı, ürünün kullanılabilirliğini ve herhangi bir ek özelliği değerlendirir. Pek çok geliştirici çok kullanışlı ücretsiz sürümler sağlar; ancak genel olarak konuşursak, bu ücretsiz sürümlerin reklamlara sahip olma olasılığı ücretli sürümlerden daha yüksektir, ancak bu her zaman böyle değildir.
Android güvenlik uygulamalarının diğer testleri ve incelemeleri için lütfen şu adrese bakın: https://www.av-comparatives.org/testmethod/mobile-security-reviews/
Sorumluluk Reddi: Bu raporun telif hakkı AV-Comparatives'e aittir.
