اکثر آنتی ویروسهای اندروید، ابزارهای کلاهبرداری هستند
گزارشهای جدید تحلیلگران امنیتی نشان میدهد که از میان چندین اپلیکیشن آنتیویروس اندروید، تنها ۲۳ عدد از آنها عملکردی کاملا سالم دارند.
یک مؤسسهی تحقیقاتی آنتی ویروس در جدیدترین گزارش خود ادعا کرد که دوسوم از اپلیکیشنهای اندرویدی، ساختگی هستند. بهبیان دیگر، آن ابزارها، قابلیتهایی که در تبلیغات خود نشان میدهند را ندارند. گزارش مذکور، توسط شرکت امنیتی استرالیایی بهنام AC-Comparatives منتشر شد.
گروه امنیتی استرالیایی، تحقیقات خود را در ماه ژانویهی سال جاری میلادی شروع کرد. آنها حدود ۲۵۰ آنتیویروس امنیتی را مورد مطالعه قرار دادند که همه بهصورت رسمی در گوگل پلی عرضه میشوند. نتایج بررسیها، یک تراژدی مضحک است. بهعنوان مثال، برخی از آنتیویروسها خودشان را نیز بهعنوان بدافزار شناسایی میکنند. گزارش نشان میدهد که صنعت آنتیویروس اندروید، هنوز راه زیادی در پیش دارد و بهنظر میرسد اکنون تنها مملو از کلاهبرداری و ادعاهای دروغین باشد. درواقع، هنوز خبری از ارائهکنندههای ابزارهای امنیتی سایبری حرفهای در آن صنعت نیست.
تنها ۸۰ عدد از ۲۵۰ آنتیویروس، آزمایشهای اولیه را با موفقیت پشت سر گذاشتند
گروه استرالیایی در گزارش خود میگوید تنها ۸۰ اپلیکیشن از میان ۲۵۰ عدد، توانستند بیش از ۳۰ درصد بدافزارهای تزریقشده را شناسایی کنند. آزمایشهای اولیه، آنچنان هم پیچیده نبودند. پژوهشگران، هر آنتیویروس را (بدون استفاده از شبیهساز) روی دستگاهی جداگانه نصب کردند. در مرحلهی بعدی، دستگاه را بهصورت خودکار برنامهریزی کردند تا یک صفحهی مرورگر باز کرده و بدافزار را پس از دانلود، نصب کند.
آزمایش فوق، برای هر اپلیکیشن ۲ هزار بار تکرار شد. به تعریف سادهتر، دستگاههای آزمایشی، ۲ هزار بدافزار مشهور سال گذشته را بهصورت خودکار دانلود و نصب کردند. درواقع، آنتیویروسها باید از قبل، این بدافزارها را در فهرست فایلهای آلودهی خود اضافه میکردند؛ چون آنها، نمونههای کاملا شناختهشدهی قدیمی بودند.
برخی از اپلیکیشنها، اسکن بدافزار انجام نمیدهند
نتایج تحقیقات امنیتی، تنها به موارد سادهی بالا خلاصه نمیشوند. اعضای گروه استرالیایی میگویند که بسیاری از اپلیکیشنها، بههیچوجه فایلهای در حال دانلود و نصب کاربر را اسکن نمیکردند. آنها تنها رویکردی بهصورت فهرست سیاه و فهرست سفید داشتهاند که فایلها با آن فهرستها مطابقت داده میشدند. بهعلاوه، نگاهی کلی نیز به نام بدافزارهای آلوده میشد و بررسی کدها، جایی در مراحل اسکن نداشت.
برخی از آنتیویروسهای مورد آزمایش، ابتدا نام پکیج اپلیکیشنها را با فهرست سفید خود مقایسه میکنند و اگر در آن فهرست وجود نداشت، اپلیکیشن را بدافزار مینامند. بههمین دلیل، اتفاق طنزی رخ میدهد و برخی از آنها (بهخاطر آن که فراموش کردند نام اپلیکیشن خود را در فهرست سفید اضافه کنند)، حتی خودشان را نیز بدافزار تشخیص میدهند.
در نمونههای دیگر، برخی آنتیویروسها از کلمات کلیدی پکیج همچون com.adobe در فهرست خود استفاده میکردند. در چنین وضعیتی، تنها کافی است که یک بدافزار، نام پکیج خود را شبیه به کلمهی کلیدی بالا (با اضافه کردن کلمهای دیگر به انتهای نام پکیج) انتخاب کرده و در نتیجه از اسکن فهرست سفید عبور کند.
تبلیغات دروغین
روغن مار، اصطلاحی است که از دیرباز در فرهنگهای مختلف برای نشان دادن تبلیغات دروغین استفاده شده است. نگارندهی مقالهی منبع، برای آنتیویروسهای بدون قابلیتهای مفید امنیتی نیز از این اصطلاح استفاده میکند. گروه تحقیقات امنیتی، مرز شناسایی ۳۰ درصد از بدافزارها را (بهعلاوهی صفر عدد تشخیص اشتباه بدافزار) برای انتخاب کاربردی یا غیرکاربردی بودن آنتیویروسها مشخص کرد. در نتیجهی آزمایشها، ۱۷۰ عدد از ۲۵۰ آنتیویروس مورد آزمایش، به آن مرز نرسیدند و بهبیان سادهتر، کلاهبرداری بیش نبودند.
سخنگوی AV-Comparatives در مصاحبهای پیرامون گزارش گروهش گفت:
بسیاری از اپلیکیشنها که برخی از آنها هم ریسک عملکردی بالایی دارند، احتمالا توسط برنامهنویسهای آماتور توسعه یافتهاند. برخی دیگر نیز توسط شرکتهایی عرضه شدهاند که روی حوزهی امنیت متمرکز نیستند.
نمونههایی از دستهی دوم، توسعهدهندههایی هستند که همهنوع اپلیکیشن میسازند. آنها یا بیشتر روی حوزهی تبلیغات و درآمدزایی از آن متمرکز هستند یا میخواهند یک نمونه آنتیویروس هم در پورتفولیوی خود داشته باشند.
شایان ذکر است برخی از آنتیویروسهای اندرویدی، همگی توسط یک توسعهدهنده ساخته شدهاند. دهها عدد از آنها، رابط کاربری یکسان و بسیاری دیگر نیز علاقهی شدیدی به نمایش تبلیغات دارند. درواقع، تمرکز آنها بیش از اسکن دقیق بدافزارها، روی نمایش تبلیغات مرتبط است.
افراد فعال در حوزهی امنیت که در سالهای گذشته هم نگاهی به آنتیویروسهای اندرویدی داشتهاند، قطعا با گزارش اخیر AV-Comparatives شوکه نخواهند شد. لوکاس استفانکو، تحلیلگر بدافزارهای موبایلی ESET از ماهها پیش هشدارهایی را پیرامون موضوع مذکور منتشر کرده بود. برخی از توییتهای پیشین او، نتایج گزارش اخیر را تأیید میکنند:
آیا شما از آنتی ویروسی که خودش را بدافزار شناسایی میکند، استفاده میکنید؟ اپلیکیشن تقلبی Antivirus 2019 از یک رویکرد فهرست سفید و سیاه و بررسی مجوزها برای شناسایی بدافزار استفاده میکند و حتی فراموش کرده است خودش را در فهرست سفید قرار دهد. – ۲۸ نوامبر ۲۰۱۸
آنتیویروس تقلبی بهنام Sd Card Virus Scanner بیش از ۱۰ هزار بار نصب شده است، اما فایلها را برای پیدا کردن بدافزار، اسکن نمیکند. آن اپلیکیشن بهجای اسکن فایلها، تنها ۱۰ میلیثانیه روی هر فایل تعلل میکند تا نقش یک اسکن را بازی کند. – ۱۳ سپتامبر ۲۰۱۸
بیش از ۱۰۰ هزار نفر از این آنتیویروس تقلبی استفاده میکنند. آن سرویس، اپلیکیشنهای مشهوری همچون پیپال را نیز بهعنوان بدافزار با ریسک بالا شناسایی میکند. تنها از آنتیویروسهای مورد اعتماد استفاده کنید، نه این اپلیکیشنهای بیفایدهای که بهخاطر سیاستهای غلط امنیتی، شما را مجبور به پاک کردن تمام اپلیکیشنهای دیگر میکنند. – ۲۸ نوامبر ۲۰۱۸
پیش از نصب هر اپلیکیشن، دیگر اپلیکیشنهای توسعهدهنده را نیز بررسی کنید. توسعهدهندههای اپلیکیشن تقلبی Antivirus 2019، زمان اضافی زیادی دارند. آنها یک بازی کارتی نیز ساختهاند. قطعا یک شرکت حرفهای نمیتواند هم بازی و هم اپلیکیشن کاربردی تولید کند. – ۱۰ دسامبر ۲۰۱۸
در پایان گزارش AV-Coparatives حقایق دیگری هم مشخص شد. بهعنوان مثال، تنها ۲۳ عدد از آنتیویروسها توانستند همهی نمونههای بدافزار را شناسایی کنند. ۱۶ اپلیکیشن هم بهصورت صحیح با اندروید ۸ سازگار نشده بودند و در نسخههای جدید سیستمعامل، با کاهش عملکرد روبهرو شدند.