出版商| CSDN（ID：）

以下是翻譯：

簡介

2017年國外知名殺毒軟件測試公司AV-防病毒應(yīng)用程序已經(jīng)過測試，測試的機(jī)會：名為app，聲稱可以掃描惡意移動設(shè)備上的軟件但事實(shí)并非如此。事實(shí)上，只需運(yùn)行該應(yīng)用程序顯示一個進(jìn)度條表示掃描的進(jìn)度，然后在設(shè)備的“掃描”月底宣布是不是惡意的應(yīng)用程序。令人擔(dān)憂的是，這個應(yīng)用程序已經(jīng)在應(yīng)用商店上架，有成千上萬的用戶支付它（雖然最終歸還給他們的錢）。

去年的測試結(jié)果顯示，一些應(yīng)用將不僅從惡意軟件攻擊未能保護(hù)設(shè)備，甚至一些可疑的啟動監(jiān)督機(jī)制。因此發(fā)現(xiàn)，除白名單軟件袋，其他大多數(shù)的殺毒軟件是潛在的危險。鑒于用戶界面可以是多個模板生成的，這些防病毒應(yīng)用程序的主要作用似乎他們開發(fā)人員可以輕松創(chuàng)建收入 - 在用戶設(shè)備的保護(hù)，而不是真正

除了這些可疑的應(yīng)用程序，我們還發(fā)現(xiàn)，AV測試針對惡意應(yīng)用近四成軟件是無效的。

要幫助用戶區(qū)分真正有效的安全和防病毒的可疑無效安卓軟件，AV-測試在2019年，防病毒應(yīng)用程序的有效性進(jìn)行了測試。

測試受試者

，我們搜索和下載 250款防病毒安全軟件從本次測試的應(yīng)用程序商店不同的開發(fā)團(tuán)隊(duì)。

以下80個部分中的應(yīng)用程序的可在惡意軟件的百分之三檢測，并且沒有錯誤警報：

但也有138個品牌的防病毒軟件的可被檢測的惡意軟件軟件的小于30％的樣品，和假陽性的在谷歌應(yīng)用文件存儲在流行的清潔率較高。

我們相信這些應(yīng)用程序是有風(fēng)險的，他們是無用的或不可靠的。其中有些是根本談不上的bug，如使用第三方的引擎不好。其他幾個人都能夠檢測惡意一把舊安卓軟件樣本，同時允許以任何特定的字符串的應(yīng)用，通過應(yīng)用程序商店的一些快速驗(yàn)證被接受。

同時，一些上述申請的也有幾個公知的移動應(yīng)用程序的安全性檢測為木馬，嫌疑人/假AV，或可能不需要的應(yīng)用程序。希望在今后的時間里，谷歌可以洗刷干凈，從谷歌應(yīng)用程序商店貨架（并期望谷歌加強(qiáng)了證書的驗(yàn)證工作，以避免這些貨架上的應(yīng)用程序）。我們也建議現(xiàn)成的應(yīng)用品牌意識的企業(yè)，直到他們能提供真正有效的保護(hù)服務(wù)。

在過去的兩個月時間里adobe破解軟件被攔截，以下32個品牌的防病毒應(yīng)用程序從谷歌應(yīng)用程序商店的貨架上：

。公司,,, AVC ,,大樂趣免費(fèi)應(yīng)用,,, 2019，埃呂斯IT ,,,考拉，洛杉磯實(shí)驗(yàn)室，實(shí)驗(yàn)室，工具，NCK集團(tuán)，海洋，PICOO，及為實(shí)驗(yàn)室,,開發(fā)，智能BAPP ,,頂馬克西組,,瓦薩私人,,,,雷達(dá)，和

大多數(shù)提到的應(yīng)用或高風(fēng)險的應(yīng)用上面，似乎開發(fā)商們業(yè)余或?qū)I(yè)的安全軟件開發(fā)商。非專業(yè)安全軟件開發(fā)者開發(fā)了廣泛的應(yīng)用，他們所從事的廣告/貨幣化的業(yè)務(wù)，我們可能會出于宣傳的目的，希望有自己品牌的應(yīng)用程序的一種保護(hù)。應(yīng)用谷歌應(yīng)用商店的業(yè)余開發(fā)者開發(fā)的，可以通過查看該作者信息來識別。一般來說，愛好開發(fā)商不會提供網(wǎng)址，但只提供一個電子郵件地址（通常的Gmail，Yahoo等）。此外，大多數(shù)這些應(yīng)用不提供任何的隱私政策。谷歌試圖從缺乏隱私策略的應(yīng)用商店，這有助于清理低質(zhì)量的應(yīng)用程序中清除所有的應(yīng)用程序。當(dāng)然，并不是所有的業(yè)余開發(fā)者開發(fā)的應(yīng)用程序上是無用的。

測試流

測試系統(tǒng)引入

我們在2018年最常見的2000種惡意的 軟件的保護(hù)作用驗(yàn)證的安全應(yīng)用的有效性。人造人工測試殺毒部250的病毒軟件 2000的保護(hù)作用是不實(shí)際的。因此，在自動測試框架安德魯斯執(zhí)行此測試。

雖然測試過程是自動的，但這個框架可以模擬真實(shí)世界的場景。它包括物理設(shè)備（具有不同的模擬器）測試，并使用實(shí)際設(shè)備的模擬方式。

一個幀由兩個部分組成：客戶端應(yīng)用程序，并且每個測試設(shè)備上的服務(wù)器應(yīng)用程序。客戶端應(yīng)用程序監(jiān)控設(shè)備狀態(tài)，并將結(jié)果發(fā)送到服務(wù)器，在一個測試用例的結(jié)束，記錄測試過程。在客戶應(yīng)用程序文件和起訴的變化過程中，新安裝的應(yīng)用程序及其權(quán)限，并安裝顯示器軟件響應(yīng)設(shè)備上的惡意行為的安全性。服務(wù)器應(yīng)用程序通過Wi-Fi遙控測試設(shè)備，并且客戶端應(yīng)用程序接收到的組織發(fā)送由測試結(jié)果。

該系統(tǒng)可以測量的連接良好的客戶應(yīng)用程序的數(shù)量。這提供了大量的條件可以并行用于安全應(yīng)用進(jìn)行測試。為了保證被測試的所有應(yīng)用程序的平等機(jī)會，可以同時連接的客戶應(yīng)用，我們在同一時間執(zhí)行相同的測試用例。對于此測試的最新的惡意軟件樣品是特別重要的，這些樣品可以是沒有安全開發(fā)滿足。

測試原理

在測試時間在2019年元月進(jìn)行，主要是三星S9電話安德魯斯8. 0系統(tǒng)（即“奧利奧”）。鑒于某些安全應(yīng)用程序不能安卓8. 0系統(tǒng)，而是采用了Nexus 5手機(jī)安卓6. 01操作系統(tǒng)下工作（請參見下文）。每個安全應(yīng)用程序安裝在每個單獨(dú)的物理測試設(shè)備。在測試開始之前，所有測試設(shè)備試驗(yàn)臺（系統(tǒng)本身安卓，安卓測試的應(yīng)用程序，以及第三方應(yīng)用程序顯式測試）更新到最新版本。然后，關(guān)閉自動更新至測試系統(tǒng)的穩(wěn)定狀態(tài)。接著，將測試應(yīng)用程序安裝的和特定的設(shè)備上運(yùn)行，以最新的版本，在適用情況下，而惡意軟件的定義也實(shí)現(xiàn)了完全的更新。

如果安全應(yīng)用鼓勵用戶執(zhí)行某些操作，以保證設(shè)備的安全性，如初始化掃描，然后跟風(fēng)。如果應(yīng)用程序激活提供了額外的保護(hù)，安裝所述掃描云保護(hù)時，或檢測潛在的應(yīng)用不必要（在PUA），這些功能將被激活。

一旦這些步驟被執(zhí)行，它會創(chuàng)建一個干凈快照到每個存儲設(shè)備和開始測試。

用相同的步驟中產(chǎn)生的每個測試用例：

1.打開谷歌瀏覽和下載惡意軟件樣本;

2。通過文件的apk打開下載文件;

3。安裝惡意軟件;

4。下執(zhí)行應(yīng)用程序。

在該過程的每個步驟的上方，下測試所安裝的應(yīng)用有足夠的時間來分析惡意軟件，惡意行為在設(shè)備上，并通知用戶。

測試用例的執(zhí)行過程中，如果反病毒應(yīng)用程序來監(jiān)視和防止惡意樣品被認(rèn)為是“檢測出”的樣本，并終止測試用例。

在每個測試盒的端部，該裝置的狀態(tài)也將被復(fù)位。如果設(shè)備上惡意軟件不執(zhí)行，這將卸載或從設(shè)備存儲器中取出樣品。如果進(jìn)行下一測試情況下，當(dāng)惡意軟件已經(jīng)執(zhí)行，回收清潔設(shè)備的快照。

在評估保護(hù)作用的每個應(yīng)用程序，不考慮是所述惡意軟件截取不下載，安裝或執(zhí)行區(qū)分階段。影響保護(hù)率的唯一的因素是安全的應(yīng)用程序是否為保護(hù)裝置免受惡意破壞樣品

為了驗(yàn)證殺毒軟件簡單的所有應(yīng)用程序是否視為惡意程序“保護(hù)”系統(tǒng)，我們進(jìn)行了誤報警的基本測試。

測試

試驗(yàn)是用2018年最常見2000安德魯斯惡意軟件進(jìn)行。為真正有效的抗病毒應(yīng)用程序，對于這些樣品的檢測率達(dá)到90％-100％是容易的。

測試項(xiàng)目進(jìn)行了總超過50萬次的測試操作的。

測試結(jié)果

上面的表顯示段的應(yīng)用超過30％的80個樣本更多的保護(hù)。為惡意軟件樣本保護(hù)的AV應(yīng)用少于30％，它們被認(rèn)為是無效/不安全的。

為2000款惡意應(yīng)用防病毒軟件的小于30％的檢出率軟件不反映在上面的表。的有限的空間一種形式中，第二，它們被認(rèn)為是無效/不安全的。

測試記錄

某些應(yīng)用程序使用其他開發(fā)引擎（見下例）。相同的發(fā)動機(jī)產(chǎn)品和一些開發(fā)商大同小異，但有些則不是。根據(jù)顯影劑載體說它可以由幾個因素，諸如使用不同的內(nèi)部設(shè)置，使用舊的發(fā)動機(jī)或不同的輔助發(fā)動機(jī)，并且使錯誤引擎的第三方應(yīng)用程序引起的。

在測試過程中，我們發(fā)現(xiàn)，許多應(yīng)用程序似乎來自同一事物的發(fā)展，有著密切聯(lián)系的相關(guān)機(jī)構(gòu)，或使用相同的一個“AV應(yīng)用程序模板。”在某些情況下，它們之間的區(qū)別僅僅是一個不同的名稱，標(biāo)識和顏色。如下：

危險的安全的應(yīng)用程序

如上面的測試對象部分所提到的adobe破解軟件被攔截，由于某些應(yīng)用程序的風(fēng)險不能被反映在結(jié)果列表中。其中一半是由于惡意的低檢測率軟件被排除。另一半，雖然在測試中檢測樣品很多惡意的，但仍然被認(rèn)為是有風(fēng)險的;我們做了這樣的結(jié)論在下一節(jié)描述。

當(dāng)您打開包裝應(yīng)用，我們可以“找到一個名為子文件夾”可疑的文本文件上傳.json“的。”下圖顯示了這樣的文件的一部分：

{
 "data":
 [
 {
 "packageName": "com.google.android.*"
 },
 {
 "packageName": "com.adobe.*"
 },
 {
 "packageName": "com.booking"
 },
 {
 "packageName": "com.facebook.*"
 },
 {
 "packageName": "com.instagram.*"
 },
 {
 "packageName": "com.twitter.*"
 },
 {
 "packageName": "com.whatsapp"
 },
 [...]
 ]
}

“JSON”的結(jié)果相一致的文件的

內(nèi)容在誤報測試發(fā)現(xiàn)：應(yīng)用程序包的名稱和匹配白名單是‘AV應(yīng)用’作為‘信任應(yīng)用程序’。白名單例如，一包名為“com.adobe。*”匹配所有的包名“com.adobe。”該應(yīng)用程序的開始。這意味著，由Adobe（例如）開發(fā)的應(yīng)用真正被認(rèn)為是安全的，這種機(jī)制還允許通過使用任何惡意程序“com.adobe?！边@個程序包名稱來繞過安全掃描。

在除了自己的白名單中的應(yīng)用，高風(fēng)險的“AV應(yīng)用程序”幾乎封鎖了所有其他應(yīng)用程序，無論這些應(yīng)用程序是否是從安裝在谷歌官方應(yīng)用商店。他們中有些人甚至沒有在白名單中添加軟件包名稱，導(dǎo)致自己的程序警告了。因?yàn)檫@個AV應(yīng)用“白名單排斥”的政策，導(dǎo)致用戶使用AV應(yīng)用無法確定它們是否是惡意的設(shè)備上的其他應(yīng)用程序。因此，我們認(rèn)為，這些應(yīng)用程序的保護(hù)能力是有限的。

是不同之處在于這些應(yīng)用的用戶接口外部的“檢測”機(jī)制看起來非常相似相同。通常只是不同的顏色，這樣的應(yīng)用主要是采用在若干不同的布局之一：

我們認(rèn)為，上述這些應(yīng)用都是有風(fēng)險的，它們由以下61個團(tuán)隊(duì)開發(fā)：

私人有限公司，O，實(shí)驗(yàn)室,,,,, AS團(tuán)隊(duì)電話實(shí)驗(yàn)室，AVC股份,,,,最佳應(yīng)用,,電話,,核心實(shí)驗(yàn)室，團(tuán)隊(duì),,開發(fā)，快速?清潔,,,,方便的工具應(yīng)用程序，jixic ,, MAN，技術(shù)，MaxVV，實(shí)驗(yàn)室,,蒙德科瑞,,, APPS，我,, NPC，海洋，Omha，好氧,,, prote的應(yīng)用程序，為與，應(yīng)用程序2018，和，Apps團(tuán)隊(duì),,智能BAPP，智能卡和鎖,,東京，工具Dev，工具，工具，媒體和，應(yīng)用程序，游戲XZ和。

實(shí)時保護(hù)8

啟動版本8（“奧利奧”），安德魯斯應(yīng)用中的更嚴(yán)格的限制執(zhí)行的后臺運(yùn)行。根據(jù)該方法的最新官方刊物它是為了防止過度使用設(shè)備資源，如RAM的。

在更新也做了一些改變，需要由系統(tǒng)事件發(fā)出給操作系統(tǒng)響應(yīng)應(yīng)用程序變更（“隱式廣播”）作為奧利奧系統(tǒng)。這種變化也影響實(shí)時保護(hù)安卓AV應(yīng)用，因?yàn)樗鼈円蕾囈呀?jīng)接收該事件的系統(tǒng)上。使用“添加包”的廣播模式，以檢查和掃描新安裝的應(yīng)用程序AV應(yīng)用。

一些AV應(yīng)用程序開發(fā)人員（包括部分的開發(fā)“主”）似乎忽略的變化。這導(dǎo)致了應(yīng)用程序的實(shí)時保護(hù)功能，錯過了新安裝的應(yīng)用程序，這使得這個功能形同虛設(shè)。操作不當(dāng)可能會在安德魯斯測井工具中可以看出：

寬：不：{ACT = ... [...]}

下面的開發(fā)團(tuán)隊(duì)沒有正確遷移他們的應(yīng)用程序到系統(tǒng)奧利奧：AZ工具,,, GOMO應(yīng)用，IOBIT，的，PSafe ,,,, TG軟,, ,,, Z部門臨

目前第一（1 - 2月），奇虎360的應(yīng)用程序也有這個問題。但3月這一報告的公布，他們已經(jīng)解決了。

此問題不會影響按需應(yīng)用程序保護(hù)的掃描。但是，由于我們的測試重點(diǎn)是實(shí)時檢測，因此決定在 6測試這些應(yīng)用程序。

結(jié)論

在我們的測試中，一些的安全應(yīng)用程序攔截惡意樣本非常小 - 在某些情況下沒有 - 它不能名正言順?biāo)麄冏鳛榉啦《緫?yīng)用程序。與去年相比，只使用黑/白名單作為檢測機(jī)構(gòu)更多的應(yīng)用。事實(shí)上，盡管除了今年我們測試的應(yīng)用程序的46節(jié)，但被認(rèn)為是在應(yīng)用數(shù)量“可用”保持不變。測試的應(yīng)用程序的惡意軟件保護(hù)無效的55％。此外，我們還發(fā)現(xiàn)，如果沒有適當(dāng)?shù)膽?yīng)用程序的16個部分遷移到8，這降低了它們的中的新版本的保護(hù)。

有23種型號在惡意試樣的試驗(yàn)應(yīng)用檢測率高達(dá)100％，鑒于其中的2018是在最常見的惡意的 軟件用，以達(dá)到這個這種效果，因?yàn)樗鼞?yīng)該。大多數(shù)開發(fā)人員經(jīng)常參加獨(dú)立測試分?jǐn)?shù)都高，因?yàn)樗麄兊膽?yīng)用程序?qū)⒈欢ㄆ趯彶椋运麄儗⒌玫酱罅Πl(fā)展，以保證產(chǎn)品的有效性。

在的安全應(yīng)用的理想選擇，我們建議考慮以下因素。請參考用戶的得分顯然是不夠的，因?yàn)榻^大多數(shù)用戶會根據(jù)用戶體驗(yàn)進(jìn)行評分，而不是確定應(yīng)用程序是否提供了真正有效的保護(hù)。一些其他意見只是偽造的開發(fā)商。我們的研究應(yīng)用的250段，在谷歌應(yīng)用商店的大比分不低于4分。同樣，下載量也非?？煽康膮⒖?成功的應(yīng)用可能是在下載很多次假，他發(fā)現(xiàn)了一個坑前。 “最近更新”日期不應(yīng)該是一個很好的指標(biāo)，因?yàn)閼?yīng)用的許多低分?jǐn)?shù)也相對較新的更新。

基于上述原因，我們建議您只使用高規(guī)格，認(rèn)證，通過的開發(fā)商和應(yīng)用。他們將參加測試除了獨(dú)立測試機(jī)構(gòu)，將打開一個包含的專業(yè)網(wǎng)站的聯(lián)系人信息和隱私政策內(nèi)容。購買之前，用戶可以得到的幾個星期哪些應(yīng)用程序試用期。然后，任何額外的功能和產(chǎn)品的用戶評價的可用性。許多開發(fā)人員提供了一個非常有用的免費(fèi)版本;但總體來講，這些廣告的免費(fèi)版本是更有可能比付費(fèi)版本，但是這并非總是如此。

上應(yīng)用的安全性

其他測試和評論，見：