Вместе с Android
реверс и программирование, обсуждение и обзоры
IntSystem.org | Веб-разработка, все о ней

Тестирование антивирусов на Android. Какой антивирус лучше? 21.10.2016

android_test_av_logo

Иногда меня спрашивают об антивирусном ПО на мобильные платформы. Некоторые и в блоге задают этот вопрос. Сам я достаточно скептически к ним отношусь, но вместо того, чтобы писать свое мнение об антивирусах на мобильные платформы, было решено взять несколько топовых продуктов из Google Play и посмотреть на что они способны. Подробности под катом.

Хорошего антивируса должно быть много

Даже на сегодняшний день, в то время, когда вредоносное ПО распространялось в том числе в официальном магазине приложений от Google, этот вопрос не имеет однозначного ответа. Такой же вопрос можно задать и по отношению к desktop-системам. Другое дело, что нужно дать ответ, подходящий большинству пользователей платформы. Или хотя бы подходящий по сравнению с другими возможными ответами на этот вопрос. Давайте разбираться.

Не смотря на схожие названия и назначение, антивирусы для desktop-систем выполняют более широкий круг задач, чем их мобильные собратья. Типичный их представитель уже давно вышел за рамки обычного сигнатурного сканера и монитора операционной системы. Подробнее о технических деталях работы антивирусов можно почитать, например, вот тут.

В это же время, антивирусы для мобильных платформ выполняют не только эти задачи. Например, фильтрация SMS, всяческие модификации системы анти-вор (удаленное блокирование доступа к устройству, удаление хранящихся на устройстве данных, отслеживание местоположения и т.д.) малоприменимы для рабочих станций под управлением desktop-версий операционных систем. Получается, антивирус для мобильных платформ решает (зачастую, судя по описаниям продуктов в Google Play) более широкий круг задач (внезависимости от эффективности решения). А вот нужно ли решать ему эти и многие другие задачи или нет? Каждый вендор хочет сделать комбайн из своего продукта на любой случай жизни, к которому так или иначе можно привязать слово “безопасность”. И это кстати применимо не только к мобильным версиям, но текст сейчас о них, иначе он получится слишком большим. Вместо того, чтобы сделать несколько утилит, которые выполняют определенные задачи, вендор добавляет все это в один пакет и называет его “антивирус”. Что же, как бы там ни было, это право вендора. Однако, сколько бы задач не требовалось выполнять от продукта, задачи эти должны выполняться качественно. Для проверки были выбраны топ-5 антивирусов из моей выдачи в Google Play и проверены на соответствие описанию.

Большая сила – большая ответственность

Антивирусы на скриншоте обладают ± схожими возможностями:

top-5-android-av

У каждого безусловно есть что-то индивидуальное, но это как правило не сравнить друг с другом. Поэтому тестировалось только общее. В качестве теста сканера была загружена подборка образцов малвари и эксплоитов для Android. Эксплоиты собраны из исходного кода. Каждый антивирус устанавливается отдельно, чтобы не мешать друг другу. Чтобы долго не рассуждать, я подготовил пару табличек, которые покажут результаты тестирования, смотрим.

android_antivirus_test_result

Некоторые пояснения по поводу таблиц. Для описания файлов столбец “Остальное” означает системные файлы, созданные системой автоматически для каталога (.DS_Store, например), либо любые другие, которые не являются образцами (например, PDF-документы по образцам). Столбец “Эксплоиты” содержит все бинарные файлы, полученные в результате сборки исходного кода из репозитория. Поэтому вполне допустимо, что некоторые из них могут эксплоитами и не являться, но тем не менее с ними взаимодействуют.

av_2_3

Что касается второй таблицы, здесь тоже есть о чем рассказать. Например, о том, что у AVAST в принципе нет возможности просканировать папку. Или о том, что у CM Security и Dr.Web отсутствует возможность одним нажатием удалить сразу все найденные объекты. Правда у Dr.Web есть фича по детекту Autorun.inf (отключаемая) в корне внешней памяти устройства, весьма предусмотрительно.

Зато у первого присутствует достаточное количество рекламы, навязчивость с выставлением рейтинга и собственный браузер.

av_browser

При этом приятно удивил ESET: у продукта есть ссылка в описании, где дается объяснение зачем программа запрашивает каждый user permission, программа делает привязку к аккаунту Google и предоставляет все возможности в течение 30 дней бесплатно. Но, к сожалению, по сканированию проигрывает Kaspersky (у которого кстати только сканер в бесплатной версии и работает).

Заключение

Судя по работе программ, все они проверяли только APK и системные настройки. Некоторые могут просматривать через Chrome посещенные страницы, чтобы пользователь не попадался на страницы из блек-листов, либо не удовлетворяющие контент-фильтрам. Это конечно лучше чем ничего, но все таки я ожидал что будет больше детектов, а получается что это обычный сигнатурный сканер с некоторым наборов функций смежной тематики (антиворы там и всякое прочее). На практике с очень большой вероятностью простейшая модификация файлов сбросит детект с образца, я уже не говорю об обфускации исходных файлов.

В итоге вместо того чтобы переложить заботу о чистоте устройства на плечи какой-то программы, придется по старинке включать голову.

Categories Malware Research

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Яндекс.Метрика