Ученые из государственного университета штата Северная
Каролина (США) представили результаты исследования, в котором показан
совершенно неприемлемый уровень обнаружения вредоносного ПО в новом фирменном
антивирусе от разработчиков Android. Как оказалось, новый сервис для локальной
верификации Android-приложений, представленный в свежей версии платформы
4.2, обнаруживает не более 15-20% известных вредоносных программ.
Судя по последней информации, платформа Android становится
аналогом Windows в мире мобильных платформ – например, по популярности. С
другой стороны, у этой популярности есть неприятная изнанка: растущая
популярность платформы вызывает пристальное внимание со стороны
киберпреступников и вирусописателей. Например, по оценке антивирусной компании
Sophos устройства под управлением ОС Android менее безопасны, чем аппараты на
базе iOS или Windows Phone. Даже американская спецслужба ФБР в октябре
распространила специальное заявление о рисках, которые угрожают пользователям Android.
Разработчики платформы Android явно понимают, что их система
нуждается в повышенной безопасности. В сентябре этого года они поглотили
компанию VirusTotal.com, которая специализируется на измерении эффективности
разных антивирусов. После поглощения в платформе Android 4.2 «Jelly
Bean» появился собственный сервис для проверки приложений, призванный
обнаруживать потенциально опасные программы прямо на аппарате пользователя.
Несмотря на видимые активные усилия разработчиков Android,
их результаты пока лишь разочаровывают. Отдельной иллюстрацией служит
исследование, которое недавно опубликовал Цзян Сюй Сян (Xuxian Jiang), доцент
кафедры вычислительной техники из университета штата Северная Каролина. По
данным этого исследования, новый фирменный сервис Android определяет всего от 15%
до 20% известных вредоносных Android-приложений. Также в этом
исследовании обнаружилось, что сторонние антивирусы для Android работают
значительно лучше в аспекте обнаружения вредоносного ПО. В частности, точность
обнаружения в решениях от Avast, AVG, TrendMicro, Symantec, BitDefender,
ClamAV, F-Secure, Fortinet, Лаборатории Касперского и Kingsoft варьируется от 51%
до 100%.
В своем исследовании доцент Цзян показывает, что работа
фирменного Android-антивируса построена на сопоставлении криптографических
хэшей SHA1. Такой подход, призванный находить известные файлы вредоносных
программ по их хэш-коду, оказался «слабым и легко преодолимым». Авторы вирусов
могут просто переупаковать или чуть-чуть изменить свои файлы, чтобы хэш-код
приложения полностью изменился. Кстати, именно этот факт заставляет
разработчиков антивирусов постепенно выходить за рамки традиционного обнаружения
вирусов по сигнатурам.
По мнению Цзяна, нынешний облачный подход к безопасности Android
(система Bouncer для проверки приложений в магазине Play Маркет) просто
необходимо дополнить более мощными локальными инструментами для контроля
вредоносных приложений. В то же время, традиционный метод обнаружения по
сигнатурам явно не подходит к современной ситуации, поскольку не позволяет
угнаться за скоростью создания и развития вирусов. Цзян считает, что
разработчикам Android следует собирать максимально полную информацию о
приложениях, насколько позволяют законные рамки, тогда связку из серверной
технологии Bouncer и клиентской технологии VirusTotal можно сделать мощным и
полезным инструментом для защиты от вирусов. Стоит также заметить, что
собственная утилита VirusTotal, представленная в июне этого года, до
поглощения, обнаруживала гораздо больше вирусов, чем ее модифицированная
версия, встроенная в Android 4.2.
По материалам сайтов TheNextWeb, Ars Technica, The Register и
InformationWeek.
|