用戶只是想安裝卡車或者汽車類駕駛的游戲,誰能想到這些軟件竟然都是惡意軟件? IT 安全公司 ESET 的安全研究員 Lukas Stefanko19日在推特上發
“用戶只是想安裝卡車或者汽車類駕駛的游戲,誰能想到這些軟件竟然都是惡意軟件? ”
IT 安全公司 ESET 的安全研究員 Lukas Stefanko19日在推特上發布了推文,稱他在 Google Play 上發現了惡意應用,在 Google Play 將下架之前,他所說的游戲安裝次數總計超過 58 萬次。
出問題的游戲程序共有 13 款,都來自一個域名在伊斯坦布爾的應用開發者名下。用戶以為自己在下載游戲,但點開后程序就會發現它莫名其妙自動崩潰。每當設備開機,惡意軟件還會自動啟動,“完全訪問” 其網絡流量,給用戶帶來泄露隱私的風險。
同時有些應用會自動隱藏圖標,讓人無從找回卸載,但實際上它還在悄悄運行。
13 款游戲軟件。圖片來自 Lukas Stefanko 的Twitter截圖 。
Google 發言人 Scott Westover 稱這些應用違法了 Google Play 的規則,他們已經下架所有 13 款游戲。
Google Play 去年刪除了多達 70 萬個惡意應用程序,比較嚴重的一起是,安全研究人員 Dexter Genius 發現黑客利用 Google Play 商店作為惡意軟件存儲倉庫、上架冒牌的 WhatsApp 應用,在消息發布之前已有超過 100 萬的安卓用戶下載使用。
相比于封閉的 iOS,Android 開放體系安全性一直受到質疑,Google 也在改進篩查機制和技術。自 Android 4.2 開始,Google 就在所有設備的 Google Play 中集成了 Verify Apps 解決方案,以此來檢測潛在的惡意軟件(Potential Harmful Apps),一旦檢測到,Verify Apps 就會警告用戶,提醒他們卸載軟件。
但還是有應用可以繞過 Verify Apps 的檢測。2017 年 1 月,Google 公布了最新算法,在 Verify Apps 失效的情況下也能檢測出惡意軟件。如果一臺設備的 Verify Apps 停止工作,那么這臺設備就會被認為是 “死亡或者不安全”(Dead or Insecure,DOI)。在這些設備中,如果某個應用出現的概率超過某個上限,那么這個應用就被認為是 DOI 應用。
Google 的監測算法。圖片來自 Engadget
Google 表示,相較 2016 年,2017 年攔截惡意軟件的數量提升了 70%。他們還致力于改進上架前的審核機制,說含有 “惡意內容” 的軟件中有 99% 都在安裝之前被清理掉了。
不過漏洞還是存在,今年 5 月,美國軟件公司Symantec 就發現有 7 個曾經被下架的惡意軟件,只靠簡單地更換開發者和 App 名字,就能重新在 Google Play 上架。這些惡意軟件將自己偽裝成谷歌產品的圖標來增加真實性,或是延遲進行惡意攻擊的時間(例如安裝后 4 小時才生效),從而爭取能更長時間留在手機里。
蘋果的 App Store 審核更嚴格。每一個軟件開發商也會有蘋果提供的代碼簽名證書,以確認開發者的身份、保證代碼在簽名后不會被惡意篡改。
iOS 采用沙盒機制,使得每個程序之間的文件夾不能相互直接訪問,應用程序若想從外部接收或向外部請求數據,必須要經過權限認證,否則無法獲取數據;蘋果還會定期更新 iOS 系統,使用戶能獲得最新安全機制的保護,以阻止舊的潛在惡意軟件感染設備。
不過 iOS 也無法完全杜絕惡意應用。2016 年,還有一款叫做 AceDeceiver 的軟件,利用蘋果 FairPlay DRM(數字版權管理)保護機制漏洞在 iOS 設備上安裝惡意軟件,不論手機是否是越獄設備。
更難管的應用是知識產權侵犯。2017 年底 PC 游戲 Cuphead(茶杯頭大冒險)在 iOS 上出現了一個冒名頂替的同名手游,開發者名稱也一字不差,甚至還有官網鏈接。按照蘋果的審核指南,開發者提交的材料中不得包含受保護的素材,比如商標、出版作品、音視頻資料等等。但這套機制更有效的部分可能是事后處理,而不是審核本身,審核工作還是高度依賴員工的判斷,給審核造成了巨大的麻煩。
