安卓的殺毒軟體還有漫長的路要走

圖片來源於網路

PC上的防病毒程序軟體通常都是必備的，而且他們必須跟隨不斷變化的威脅來升級自己的殺毒引擎，結合龐大的安全雲庫，為用戶提供全面可信的安全防護。現在，隨著防毒軟體在Android設備上的普及，同樣不斷的強化殺毒軟體很顯然也是必要的。

圖片來源於網路

目前的缺點的一個關鍵部分源於Android防病毒產品的相對不成熟。喬治亞理工大學的研究人員分析了58種主流殺毒工具，發現很多的都比較容易失敗，因為沒有採取多樣化的方式進行惡意軟體檢測。考慮到攻擊者的行徑，研究人員構建了一個名為AVPass的工具，該工具用於將惡意軟體滲透到系統中，而不會被防病毒軟體檢測到。在AVPass測試的58個程序中，只有兩個 - 從AhnLab和WhiteArmor - 一致地停止AVPass攻擊。

喬治亞理工大學博士研究所的博士生Max Wolotsky表示：「針對移動平台的殺毒軟體真的只是一些公司需要做的開始 ，很多Android殺毒軟體的效果可能並不是很理想。」 「我們一定會警告消費者，你想要謹慎手機病毒的入侵。「

圖片來源於網路

現代殺毒軟體使用機器學習技術與惡意軟體領域一起發展。因此，在創建AVPass時，研究人員開始採用打敗他們可以訪問的防禦演算法的方法（如為學術研究或其他開源項目創建的方法），然後使用這些策略作為對專有消費者防病毒產品進行攻擊的基礎在那裡你看不到代碼供電。該小組將於星期四在拉斯維加斯舉行的Black Hat黑客會議上出席併發布AVPass。

為了測試58種Android防毒軟體產品，並找出可能對每一種操作有什麼好處，研究人員使用了一個名為VirusTotal的服務，該服務試圖通過一個包含數十種工具的系統進行掃描來識別鏈接和惡意軟體樣本，並提供結果關於每個工具發現。通過使用不同的惡意軟體組件查詢VirusTotal，並查看哪些工具標記了哪些樣品，研究人員可以形成每個防毒軟體的檢測功能類型的圖片。根據學術許可證，VirusTotal將該組織限制在每個惡意軟體樣本數量少於300個的查詢中，但是研究人員說，即使這麼少的數據足以收集關於不同服務如何檢測惡意軟體的數據。

圖片來源於網路

在此次偵察之前，該團隊開發了一個名為「模仿模式」的AVPass功能，該功能屏蔽了提交防病毒掃描的測試樣本，因此片段本身不會被識別和列入黑名單。另一位從事該項目的研究人員Chanil Jeon說：「模擬模式是我們的惡意軟體混淆。「我們提取特定的惡意軟體功能並將其插入空的應用程序，因此我們可以測試哪個功能或哪個組合對於惡意軟體檢測很重要。」該團隊處理了惡意軟體庫（如和DREBIN）的主流惡意軟體示例。

AVPass是一個開源原型，是Georgia Tech對機器學習演算法（如防病毒軟體中使用的演算法）的研究的一部分，以及它們被操縱和利用的程度。但它也作為對移動防禦不斷變化的評估。

蒙特利爾康科迪亞大學的安全研究員Mohammad Mannan說：「惡意軟體與PC惡意軟體相比，Android惡意軟體並不多，研究了防病毒漏洞。「在大多數情況下，他們只是流氓應用程序，所以它們更易於檢測。」 Mannan指出，儘管Android防病毒應用程序在系統中具有很大的餘地，但它們並不像PC上的防病毒應用程序那樣有特權，這可能會降低防病毒有時被利用為安全漏洞本身的擔憂。

圖片來源於網路

然而現在，潛在的優勢似乎被市場不成熟所掩蓋。AVPass團隊說，Android防病毒開發人員需要構建他們的產品，以便程序一次查找多個惡意屬性。而且他們注意到，如VirusTotal這樣的工具在每個服務披露的信息中都不那麼具體，他們的研究將會更加困難和耗時。

「這些結果並不是最令人驚訝的，」Wolotsky說。「我們知道這一點，作為安全研究人員，移動領域不那麼先進，我們希望AVPass能夠讓防病毒開發人員能夠看到什麼是有效的，有針對性地開發出安全性更加完美的病毒防護工具。

本文由 科技大偵探 原創 轉載請註明出處