出版商| CSDN（ID：）

以下是翻譯：

簡介

2017年國外知名殺毒軟件測試公司AV-防病毒應用程序已經過測試，測試的機會：名為app，聲稱可以掃描惡意移動設備上的軟件但事實并非如此。事實上，只需運行該應用程序顯示一個進度條表示掃描的進度，然后在設備的“掃描”月底宣布是不是惡意的應用程序。令人擔憂的是，這個應用程序已經在應用商店上架，有成千上萬的用戶支付它（雖然最終歸還給他們的錢）。

去年的測試結果顯示，一些應用將不僅從惡意軟件攻擊未能保護設備，甚至一些可疑的啟動監(jiān)督機制。因此發(fā)現(xiàn)，除白名單軟件袋，其他大多數的殺毒軟件是潛在的危險。鑒于用戶界面可以是多個模板生成的，這些防病毒應用程序的主要作用似乎他們開發(fā)人員可以輕松創(chuàng)建收入 - 在用戶設備的保護，而不是真正

除了這些可疑的應用程序，我們還發(fā)現(xiàn)，AV測試針對惡意應用近四成軟件是無效的。

要幫助用戶區(qū)分真正有效的安全和防病毒的可疑無效安卓軟件，AV-測試在2019年，防病毒應用程序的有效性進行了測試。

測試受試者

，我們搜索和下載 250款防病毒安全軟件從本次測試的應用程序商店不同的開發(fā)團隊。

以下80個部分中的應用程序的可在惡意軟件的百分之三檢測，并且沒有錯誤警報：

但也有138個品牌的防病毒軟件的可被檢測的惡意軟件軟件的小于30％的樣品，和假陽性的在谷歌應用文件存儲在流行的清潔率較高。

我們相信這些應用程序是有風險的，他們是無用的或不可靠的。其中有些是根本談不上的bug，如使用第三方的引擎不好。其他幾個人都能夠檢測惡意一把舊安卓軟件樣本，同時允許以任何特定的字符串的應用，通過應用程序商店的一些快速驗證被接受。

同時，一些上述申請的也有幾個公知的移動應用程序的安全性檢測為木馬，嫌疑人/假AV，或可能不需要的應用程序。希望在今后的時間里，谷歌可以洗刷干凈，從谷歌應用程序商店貨架（并期望谷歌加強了證書的驗證工作，以避免這些貨架上的應用程序）。我們也建議現(xiàn)成的應用品牌意識的企業(yè)，直到他們能提供真正有效的保護服務。

在過去的兩個月時間里adobe破解軟件被攔截，以下32個品牌的防病毒應用程序從谷歌應用程序商店的貨架上：

。公司,,, AVC ,,大樂趣免費應用,,, 2019，埃呂斯IT ,,,考拉，洛杉磯實驗室，實驗室，工具，NCK集團，海洋，PICOO，及為實驗室,,開發(fā)，智能BAPP ,,頂馬克西組,,瓦薩私人,,,,雷達，和

大多數提到的應用或高風險的應用上面，似乎開發(fā)商們業(yè)余或專業(yè)的安全軟件開發(fā)商。非專業(yè)安全軟件開發(fā)者開發(fā)了廣泛的應用，他們所從事的廣告/貨幣化的業(yè)務，我們可能會出于宣傳的目的，希望有自己品牌的應用程序的一種保護。應用谷歌應用商店的業(yè)余開發(fā)者開發(fā)的，可以通過查看該作者信息來識別。一般來說，愛好開發(fā)商不會提供網址，但只提供一個電子郵件地址（通常的Gmail，Yahoo等）。此外，大多數這些應用不提供任何的隱私政策。谷歌試圖從缺乏隱私策略的應用商店，這有助于清理低質量的應用程序中清除所有的應用程序。當然，并不是所有的業(yè)余開發(fā)者開發(fā)的應用程序上是無用的。

測試流

測試系統(tǒng)引入

我們在2018年最常見的2000種惡意的 軟件的保護作用驗證的安全應用的有效性。人造人工測試殺毒部250的病毒軟件 2000的保護作用是不實際的。因此，在自動測試框架安德魯斯執(zhí)行此測試。

雖然測試過程是自動的，但這個框架可以模擬真實世界的場景。它包括物理設備（具有不同的模擬器）測試，并使用實際設備的模擬方式。

一個幀由兩個部分組成：客戶端應用程序，并且每個測試設備上的服務器應用程序?？蛻舳藨贸绦虮O(jiān)控設備狀態(tài)，并將結果發(fā)送到服務器，在一個測試用例的結束，記錄測試過程。在客戶應用程序文件和起訴的變化過程中，新安裝的應用程序及其權限，并安裝顯示器軟件響應設備上的惡意行為的安全性。服務器應用程序通過Wi-Fi遙控測試設備，并且客戶端應用程序接收到的組織發(fā)送由測試結果。

該系統(tǒng)可以測量的連接良好的客戶應用程序的數量。這提供了大量的條件可以并行用于安全應用進行測試。為了保證被測試的所有應用程序的平等機會，可以同時連接的客戶應用，我們在同一時間執(zhí)行相同的測試用例。對于此測試的最新的惡意軟件樣品是特別重要的，這些樣品可以是沒有安全開發(fā)滿足。

測試原理

在測試時間在2019年元月進行，主要是三星S9電話安德魯斯8. 0系統(tǒng)（即“奧利奧”）。鑒于某些安全應用程序不能安卓8. 0系統(tǒng)，而是采用了Nexus 5手機安卓6. 01操作系統(tǒng)下工作（請參見下文）。每個安全應用程序安裝在每個單獨的物理測試設備。在測試開始之前，所有測試設備試驗臺（系統(tǒng)本身安卓，安卓測試的應用程序，以及第三方應用程序顯式測試）更新到最新版本。然后，關閉自動更新至測試系統(tǒng)的穩(wěn)定狀態(tài)。接著，將測試應用程序安裝的和特定的設備上運行，以最新的版本，在適用情況下，而惡意軟件的定義也實現(xiàn)了完全的更新。

如果安全應用鼓勵用戶執(zhí)行某些操作，以保證設備的安全性，如初始化掃描，然后跟風。如果應用程序激活提供了額外的保護，安裝所述掃描云保護時，或檢測潛在的應用不必要（在PUA），這些功能將被激活。

一旦這些步驟被執(zhí)行，它會創(chuàng)建一個干凈快照到每個存儲設備和開始測試。

用相同的步驟中產生的每個測試用例：

1.打開谷歌瀏覽和下載惡意軟件樣本;

2。通過文件的apk打開下載文件;

3。安裝惡意軟件;

4。下執(zhí)行應用程序。

在該過程的每個步驟的上方，下測試所安裝的應用有足夠的時間來分析惡意軟件，惡意行為在設備上，并通知用戶。

測試用例的執(zhí)行過程中，如果反病毒應用程序來監(jiān)視和防止惡意樣品被認為是“檢測出”的樣本，并終止測試用例。

在每個測試盒的端部，該裝置的狀態(tài)也將被復位。如果設備上惡意軟件不執(zhí)行，這將卸載或從設備存儲器中取出樣品。如果進行下一測試情況下，當惡意軟件已經執(zhí)行，回收清潔設備的快照。

在評估保護作用的每個應用程序，不考慮是所述惡意軟件截取不下載，安裝或執(zhí)行區(qū)分階段。影響保護率的唯一的因素是安全的應用程序是否為保護裝置免受惡意破壞樣品

為了驗證殺毒軟件簡單的所有應用程序是否視為惡意程序“保護”系統(tǒng)，我們進行了誤報警的基本測試。

測試

試驗是用2018年最常見2000安德魯斯惡意軟件進行。為真正有效的抗病毒應用程序，對于這些樣品的檢測率達到90％-100％是容易的。

測試項目進行了總超過50萬次的測試操作的。

測試結果

上面的表顯示段的應用超過30％的80個樣本更多的保護。為惡意軟件樣本保護的AV應用少于30％，它們被認為是無效/不安全的。

為2000款惡意應用防病毒軟件的小于30％的檢出率軟件不反映在上面的表。的有限的空間一種形式中，第二，它們被認為是無效/不安全的。

測試記錄

某些應用程序使用其他開發(fā)引擎（見下例）。相同的發(fā)動機產品和一些開發(fā)商大同小異，但有些則不是。根據顯影劑載體說它可以由幾個因素，諸如使用不同的內部設置，使用舊的發(fā)動機或不同的輔助發(fā)動機，并且使錯誤引擎的第三方應用程序引起的。

在測試過程中，我們發(fā)現(xiàn)，許多應用程序似乎來自同一事物的發(fā)展，有著密切聯(lián)系的相關機構，或使用相同的一個“AV應用程序模板。”在某些情況下，它們之間的區(qū)別僅僅是一個不同的名稱，標識和顏色。如下：

危險的安全的應用程序

如上面的測試對象部分所提到的adobe破解軟件被攔截，由于某些應用程序的風險不能被反映在結果列表中。其中一半是由于惡意的低檢測率軟件被排除。另一半，雖然在測試中檢測樣品很多惡意的，但仍然被認為是有風險的;我們做了這樣的結論在下一節(jié)描述。

當您打開包裝應用，我們可以“找到一個名為子文件夾”可疑的文本文件上傳.json“的?！毕聢D顯示了這樣的文件的一部分：

{
 "data":
 [
 {
 "packageName": "com.google.android.*"
 },
 {
 "packageName": "com.adobe.*"
 },
 {
 "packageName": "com.booking"
 },
 {
 "packageName": "com.facebook.*"
 },
 {
 "packageName": "com.instagram.*"
 },
 {
 "packageName": "com.twitter.*"
 },
 {
 "packageName": "com.whatsapp"
 },
 [...]
 ]
}

“JSON”的結果相一致的文件的

內容在誤報測試發(fā)現(xiàn)：應用程序包的名稱和匹配白名單是‘AV應用’作為‘信任應用程序’。白名單例如，一包名為“com.adobe。*”匹配所有的包名“com.adobe?！痹搼贸绦虻拈_始。這意味著，由Adobe（例如）開發(fā)的應用真正被認為是安全的，這種機制還允許通過使用任何惡意程序“com.adobe?！边@個程序包名稱來繞過安全掃描。

在除了自己的白名單中的應用，高風險的“AV應用程序”幾乎封鎖了所有其他應用程序，無論這些應用程序是否是從安裝在谷歌官方應用商店。他們中有些人甚至沒有在白名單中添加軟件包名稱，導致自己的程序警告了。因為這個AV應用“白名單排斥”的政策，導致用戶使用AV應用無法確定它們是否是惡意的設備上的其他應用程序。因此，我們認為，這些應用程序的保護能力是有限的。

是不同之處在于這些應用的用戶接口外部的“檢測”機制看起來非常相似相同。通常只是不同的顏色，這樣的應用主要是采用在若干不同的布局之一：

我們認為，上述這些應用都是有風險的，它們由以下61個團隊開發(fā)：

私人有限公司，O，實驗室,,,,, AS團隊電話實驗室，AVC股份,,,,最佳應用,,電話,,核心實驗室，團隊,,開發(fā)，快速?清潔,,,,方便的工具應用程序，jixic ,, MAN，技術，MaxVV，實驗室,,蒙德科瑞,,, APPS，我,, NPC，海洋，Omha，好氧,,, prote的應用程序，為與，應用程序2018，和，Apps團隊,,智能BAPP，智能卡和鎖,,東京，工具Dev，工具，工具，媒體和，應用程序，游戲XZ和。

實時保護8

啟動版本8（“奧利奧”），安德魯斯應用中的更嚴格的限制執(zhí)行的后臺運行。根據該方法的最新官方刊物它是為了防止過度使用設備資源，如RAM的。

在更新也做了一些改變，需要由系統(tǒng)事件發(fā)出給操作系統(tǒng)響應應用程序變更（“隱式廣播”）作為奧利奧系統(tǒng)。這種變化也影響實時保護安卓AV應用，因為它們依賴已經接收該事件的系統(tǒng)上。使用“添加包”的廣播模式，以檢查和掃描新安裝的應用程序AV應用。

一些AV應用程序開發(fā)人員（包括部分的開發(fā)“主”）似乎忽略的變化。這導致了應用程序的實時保護功能，錯過了新安裝的應用程序，這使得這個功能形同虛設。操作不當可能會在安德魯斯測井工具中可以看出：

寬：不：{ACT = ... [...]}

下面的開發(fā)團隊沒有正確遷移他們的應用程序到系統(tǒng)奧利奧：AZ工具,,, GOMO應用，IOBIT，的，PSafe ,,,, TG軟,, ,,, Z部門臨

目前第一（1 - 2月），奇虎360的應用程序也有這個問題。但3月這一報告的公布，他們已經解決了。

此問題不會影響按需應用程序保護的掃描。但是，由于我們的測試重點是實時檢測，因此決定在 6測試這些應用程序。

結論

在我們的測試中，一些的安全應用程序攔截惡意樣本非常小 - 在某些情況下沒有 - 它不能名正言順他們作為防病毒應用程序。與去年相比，只使用黑/白名單作為檢測機構更多的應用。事實上，盡管除了今年我們測試的應用程序的46節(jié)，但被認為是在應用數量“可用”保持不變。測試的應用程序的惡意軟件保護無效的55％。此外，我們還發(fā)現(xiàn)，如果沒有適當的應用程序的16個部分遷移到8，這降低了它們的中的新版本的保護。

有23種型號在惡意試樣的試驗應用檢測率高達100％，鑒于其中的2018是在最常見的惡意的 軟件用，以達到這個這種效果，因為它應該。大多數開發(fā)人員經常參加獨立測試分數都高，因為他們的應用程序將被定期審查，所以他們將得到大力發(fā)展，以保證產品的有效性。

在的安全應用的理想選擇，我們建議考慮以下因素。請參考用戶的得分顯然是不夠的，因為絕大多數用戶會根據用戶體驗進行評分，而不是確定應用程序是否提供了真正有效的保護。一些其他意見只是偽造的開發(fā)商。我們的研究應用的250段，在谷歌應用商店的大比分不低于4分。同樣，下載量也非常可靠的參考;成功的應用可能是在下載很多次假，他發(fā)現(xiàn)了一個坑前。 “最近更新”日期不應該是一個很好的指標，因為應用的許多低分數也相對較新的更新。

基于上述原因，我們建議您只使用高規(guī)格，認證，通過的開發(fā)商和應用。他們將參加測試除了獨立測試機構，將打開一個包含的專業(yè)網站的聯(lián)系人信息和隱私政策內容。購買之前，用戶可以得到的幾個星期哪些應用程序試用期。然后，任何額外的功能和產品的用戶評價的可用性。許多開發(fā)人員提供了一個非常有用的免費版本;但總體來講，這些廣告的免費版本是更有可能比付費版本，但是這并非總是如此。

上應用的安全性

其他測試和評論，見：