بهترین آنتی ویروس اندروید

برای اولین بار، محققان به این نتیجه رسیدند که بدافزارهای اندرویدی آینده می‌توانند بین گوشی‌های هوشمند اندروید و رایانه‌های شخصی رومیزی به صورت مشترک منتشر شوند. اولین تلاش‌ها برای انجام این نوع خرابکاری این کار را می‌توان با نمونه‌های Zeus-in-the-Mobile (ZitMo، بخشی از خانواده بدافزار Zeus که در درجه اول یک بدافزار بانکی است) مشاهده کرد، اگرچه آنها بیشتر به Social Engineering هستند. بدافزار SuperClean قادر است بدون اتکا به social engineering از وکتورهای حمله استفاده کند. علاوه بر این، امکان سنجی یک approach کاملا خودکار با فعالیت‌های عملی مهندسان انجام شده است. برای این موضوع، یک بدافزار به صورت کامل توسعه یافته است. این بدافزار، که هویت آن برای فروشندگان آنتی ویروس ناشناخته است، در ادامه این مقاله جهت انجام تست‌های نرم افزار آنتی ویروس استفاده خواهد شد. بسیاری از بدافزارهای اندرویدی در تلاش برای الوده کردن تعداد بیشتری از دستگاه‌ها هستند، و در همین حین برخی در تلاشند سناریوهای حمله تخصصی تری را برای ایجاد یک vector حمله مورد استفاده قرار دهند. در این زمینه، حملاتی مانند شبکه Flame و Red October می‌تواند از سناریوی Fraunhofer AISEC On The Effectiveness of Malware Protection on Android 6 2 Background باشد که به عنوان نمونه حمله‌ی هدفمند مورد بررسی قرار می‌گیرد . تحت چنین سناریویی، ممکن است از یک حمله هدفمند به دستگاه اندرویدی کارمند برای نفوذ به شبکه‌ها استفاده شود.

تصور عمومی از امنیت اندروید تا حد زیادی توسط دو دسته از تحقیقات شکل گرفته است. از یک طرف، فروشندگان آنتی ویروس که به بزرگترین مجموعه از نمونه های بدافزار دسترسی دارند، به طور منظم گزارش های حمله را را در مورد وضعیت تهدیدات بدافزار برای بسیاری از پلتفرم ها منتشر می‌کنند. از سوی دیگر، مجلات، شرکت‌ها و موسسات گزارش‌های مرتبط با تست‌های محصولات آنتی‌ویروس را منتشر می‌کنند. هر دو گزارش به سطح ریسک مشاهده شده در پلت فرم اندروید کمک می‌کنند. ریسک، در این مورد، تابعی از تهدید و سطح حفاظت است. با این حال، چندین موضوع شناسایی شده که در هیچ دسته از گزارش‌ها در رابطه با آنتی ویروس اندروید به آن پرداخته نشده است. این مساله عمدتا به پیامدهای عملی و نتیجه گیری این گزارش ها از بررسی‌های انجام شده برای امنیت کاربران و دستگاه‌های آنها مربوط می شود.

تهیه‌‎کنندگان آنتی ویروس‌های گزارش های تهدید و حمله را به طور منظم منتشر می‌کنند. بیشتر اوقات، این نهاد‌ها اطلاعاتی در مورد نمونه‌های بدافزاری منحصربه‌فرد ارائه می‌دهند که همیشه در حال افزایش و گسترش هستند. نتیجه گیری اغلب این گزارشات این است که وضعیت تهدید بدافزار در اندروید به طور چشمگیری در حال افزایش است. با وجود hash های متفاوت، ممکن است ده ها یا صدها نمونه منحصر به فرد وجود داشته باشد که عملکرد کاملا یکسانی دارند. تغییرات جزئی اغلب در بدافزار اعمال می‌شود تا از تکنیک‌های تشخیص مختلف فرار کند و شناسایی نشود. برای مثال، bit های تکی و رشته‌های کاراکتر را می‌توان تغییر داد تا از تشخیص مبتنی بر جمع کنترل جلوگیری شود، مبهم‌سازی فرایند اجرایی بدافزار  ممکن است برای دور زدن تشخیص مبتنی بر signature و غیره اعمال شود. هیچ اظهارنظری در مورد تعداد واقعی آلودگی‌ها، یا در مورد تلاش‌های توسعه‌دهندگان و توزیع‌کنندگان بدافزار برای گسترش بدافزار و همچنین در مورد دفعات حمله نمی‌توان ارائه کرد. آسیب پذیری عمومی دستگاهها نیز در این گزارش‌ها در نظر گرفته نشده است. فقط تعداد نمونه‌های جدید  بدافزارهای مختلف در دنیای واقعی شمارش می‌شود. چنین شمارشی اغلب چندان ارزشمند تلقی نمی شود، زیرا وضعیت واقعی تهدید بدافزار را منعکس نمی کند. بهترین آنتی ویروس اندروید بر اساس گزارش‌های منتشر شده می‌تواند برنامه‌ای باشد که با داشتن دیتابیس گسترده و قدرتمند برای رویارویی با انواع بدافزارهای جدید و توسعه یافته آمادگی مقابله داشته باشد.

برای ارزیابی تهدید، تعداد دستگاه‌هایی که در معرض حملات خاص یا کانال‌های distribution، یا تعداد آلودگی واقعی یا عضوی از خانواده‌های بدافزار جدید هستند، بسیار مهم‌تر است. این موارد گاهی مورد بررسی قرار می گیرند، اما عمدتا روی آنها تمرکز نمی شود. در کنار آن گزارش‌های تهدید، اخبار منتشر شده که اغلب درباره افزایش تهدیدها می‌باشد، به کاربران اندروید هشدار می‌دهند. با این حال، من استدلال می کنم که وضعیت تهدید به طور دقیق توسط گزارش‌های منتشر شده به تصویر کشیده نمی شود. تهدیدها و آسیب‌پذیری‌های جدید واقعی اغلب با جزئیات مورد تجزیه و تحلیل قرار نمی‌گیرند، در حالی که افزایش تعداد نمونه‌های منحصربه‌فرد به عنوان مبنایی برای هشدار درباره افزایش تهدیدات استفاده می‌شود.

یکی از قابل توجه ترین و کامل ترین تست های نرم افزار آنتی ویروس اندروید تا به امروز توسط AV-Test  انجام شده است. همان تکنیک هایی را که برای تست های آنتی ویروس در پلتفرم های دیگر مانند مایکروسافت ویندوز استفاده می شود، توسط این آزمایشگاه برای تست آنتی ویروس اندروید به کار گرفته شده است. مشکلات بیشتری در پلتفرم Android وجود دارد که این روش‌های تست را برای ارزیابی کمتر مناسب می‌کند. سطح حفاظت ارائه شده توسط محصولات بررسی شده

پلتفرم اندروید اصولا رویکردهای متفاوتی برای کنترل دسترسی نرم افزار به سیستم عامل، دستگاه و سایر منابع برنامه دارد. در پلتفرم‌های desktop، اکثر نرم‌افزارها به‌طور پیشفرض قابل اعتماد تلقی می‌شوند و پس از نصب، دسترسی گسترده‌ای به داده‌های سیستم، کاربران و سایر نرم‌افزارهای آن سیستم دارند. با این حال، در اندروید، یک sandbox مبتنی بر system file تضمین می‌کند که هر برنامه نصب‌شده فقط می‌تواند به داده‌های خود و نه کاربر یا سایر برنامه‌ها دسترسی داشته باشد، مگر اینکه به صراحت توسط کاربر اجازه داده شود (از طریق سیستم (access permission . نرم افزار آنتی ویروس اندروید نمی‌تواند محتویات دایرکتوری‌های دیگر را در دستگاه اندروید لیست کند.

علاوه بر این، نرم افزار آنتی ویروس در ویندوز قابلیت نظارت بر عملیات سیستم فایل را دارد. به این ترتیب، اگر نرم افزاری که آلودگی آن قبلا مشخص نبوده است، به طور ناگهانی کدهای مخرب را در هارد دیسک دانلود کند، شناسایی می‌شود، زیرا بارگیری در هارددیسک توسط اسکنر access نرم افزار آنتی ویروس مشخص می شود. با این حال، در اندروید، نظارت بر system file نیز امکان پذیر نیست، زیرا تکنیک‌های ضروری مانند hooking برای برنامه های نصب شده توسط کاربر مجاز نیستند.

بنابراین، نه اسکن کامل system file و نه نظارت بر system file را نمی توان توسط نرم افزار آنتی ویروس در اندروید پیاده سازی کرد. این کار پیامدهای جدی دارد. در این صورت برنامه‌های بی‌ضرر ممکن است شروع به دانلود فایل‌های اجرایی در فهرست‌های کاری خود کرده و آن‌ها را اجرا کنند – تکنیکی که توسط Android کنترل یا ممنوع نشده است. این مورد توسط نرم افزار آنتی ویروس اندروید قابل شناسایی نیست. از این رو، به هیچ وجه نمی توان این حملات را با تست های detection rate بر اساس history آنتی ویروس اندروید پوشش داد. چنین حملاتی امکان پذیر هستند و می توان آنها را به راحتی اجرا کرد. با این حال، rate تشخیص بالای گزارش شده توسط تست های آنتی ویروس، حاکی از محافظت تقریبا کامل از دستگاه هایی با نرخ تشخیص 90٪ و بالاتر است. در مورد یک خانواده بدافزار به طور گسترده با توسعه‌ی زیاد، در زمان انتشار به هیچ وجه توسط نرم افزار آنتی ویروس شناسایی نشد و باعث شد سایر محققان از نرم افزار آنتی ویروس اندروید به دلیل کارایی پایین انتقاد کنند. بهترین آنتی ویروس می‌تواند گزینه‌ای باشد که با برخورداری از نرخ تشخیص بالای 99.98 درصد از وقوع حملات سایبری آگاه شود و جلوی آن را بگیرد.