Sinubukan namin ang 21 Android antivirus apps at natagpuan ang mga malubhang kahinaan na ito
Ginugol ng Comparitech ang ilang linggo sa pagsubok ng sikat na libreng Android antivirus apps. Naghanap kami ng mga kapintasan sa paraan ng bawat vendor na humahawak ng privacy, security, at advertising. Ang mga resulta ay pagbukas ng mata.
Sa maraming mga kaso, hindi ka nakakakuha ng ipinangako sa Play Store. Ang maraming mga app ay hindi tumpak na makakita ng isang virus. Halos lahat ng mga ito ay sinusubaybayan mo. At natagpuan namin ang isang bilang ng mga malubhang bahid ng seguridad, kabilang ang isang kritikal na kahinaan na nakalantad sa mga libro ng address ng gumagamit, at isa pa na nagpapagana sa mga pag-atake ng buong pag-iwas sa proteksyon antivirus.
Mga resulta ng pagsubok sa antivirus Android
Ang senior researcher ng Comparitech na si Khaled Sakr, ay responsable sa aktibong pagsubok. Tiningnan niya ang application mismo, ang pagiging epektibo nito, ang dashboard ng pamamahala ng web, at lahat ng mga serbisyo sa backend na kasangkot. Nasuri din namin ang mga mapanganib na pahintulot at mga tracker na naka-embed sa bawat mobile antivirus app.
Ang aming pagsubok
Noong kalagitnaan ng Hunyo 2023, tiningnan namin ang sumusunod na 21 na mga antivirus na Android:
| Libre ang AEGISLAB Antivirus | com.aegislab.sd3prj.antivirus.free |
| Malwarebytes Security: Mas malinis ang Virus, Anti-Malware | org.malwarebytes.antimalware |
| AVL Pro Antivirus & Seguridad | com.antiy.avlpro |
| APUS Security – Malinis na Virus, Antivirus, Booster | com.guardian.security.pri |
| Brainiacs Antivirus System | com.antivirussystemforandroid.brainiacs.googleplay |
| BullGuard Mobile Security at Antivirus | com.bullguard.mobile.mobilesecurity |
| Mas malinis ang Telepono | phone.cleaner.speed.booster.cache.clean.android.master |
| Comodo Libreng Antivirus, VPN at Mobile Security | com.comodo.cisme.antivirus |
| Emsisoft Mobile Security | com.emsisoft.security |
| ESET Mobile Security & Antivirus | com.eset.ems2.gp |
| Dr.Capsule – Antivirus, Mas malinis, tagasunod | com.estsoft.alyac |
| Nakikitang Antivirus & Mas malinis | com.fotoable.cleaner |
| Security ng NQ Mobile & Libre ang Antivirus | com.nqmobile.antivirus20 |
| Zemana Antivirus & Seguridad | com.zemana.msecurity |
| MalwareFox Anti-Malware | com.malwarefox.antimalware |
| Antivirus Mobile – Mas malinis, Scanner ng Virus ng Telepono | com.taptechnology.antivirus.mobile |
| dfndr security: antivirus, anti-hack & mas malinis | com.psafe.msuite |
| Privacy Lab Antivirus & Mobile Security | com.secore.privacyshield |
| Web Security Security ng Webroot | com.webroot.security.sme |
| VIP Security Mobile Security | com.ssd.vipre |
| V3 Mobile Security | com.ahnlab.v3mobilesecurity.soda |
Natagpuan namin ang mga malubhang kakulangan sa seguridad sa tatlo sa mga app na sinubukan namin, at natagpuan ang walong mga app na hindi makakakita ng isang virus ng pagsubok. Sa kabuuan, 47% ng mga nagtitinda na nasubok namin ay nabigo sa ilang paraan.
Tandaan: Pagkapribado Lab Antivirus & Ang Mobile Security ay mula nang tinanggal sa Play Store
Seguridad
Natagpuan namin ang mga maling naisip na mga serbisyo sa web na nakakaapekto sa tatlong magkahiwalay na mga antivirus vendor:
| VIPRE | IDOR – Ang mga gumagamit ng Premium na may pag-sync ng address ng libro ay nasa panganib na magnanakaw ang kanilang mga contact | Mapanganib |
| VIPRE | IDOR – Ang lahat ng mga gumagamit ay mahina laban sa isang umaatake na nagpapadala ng mga pekeng alerto ng antivirus | Seryoso |
| BullGuard | IDOR – Ang lahat ng mga gumagamit ay mahina laban sa isang umaatake na malayo na hindi pinapagana ang kanilang proteksyon sa antivirus | Seryoso |
| BullGuard | XSS – Ang mga gumagamit ng website ng BullGuard ay nasa panganib ng mga umaatake na nagpasok ng nakakahamak na code dahil sa isang mahina na script | Seryoso |
| AEGISLAB | XSS – Ang mga gumagamit ng AEGISLAB web dashboard ay nasa panganib ng mga umaatake na nagpasok ng nakakahamak na code dahil sa isang mahina na script | Seryoso |
Ang VIPRE Mobile, AEGISLAB, at BullGuard lahat ay may mga kakulangan na maaaring ilagay sa peligro at seguridad ng gumagamit. Sa kasong ito, ang lahat ng tatlong mga nagtitinda ay nagtatrabaho sa amin noong Hunyo at Hulyo upang i-patch ang mga bahid sa kanilang app bago namin nai-publish ang ulat na ito. Maaari naming kumpirmahin ang lahat ng mga kahinaan ay naayos.
Pagganap
Natagpuan namin ang mga sumusunod na mobile antivirus apps ay hindi makakakita ng isang mapanganib na pagsubok sa virus:
- Libre ang AEGISLAB Antivirus
- Antiy AVL Pro Antivirus & Seguridad
- Brainiacs Antivirus System
- Nakukuhang Super Malinis
- MalwareFox Anti-Malware
- Security ng NQ Mobile & Libre ang Antivirus
- Tapikin ang Teknolohiya Antivirus Mobile
- Zemana Antivirus & Seguridad
Ang Metasploit payload na ginamit namin na mga pagtatangka upang buksan ang isang reverse shell sa aparato nang walang obfuscation. Itinayo ito para sa eksaktong uri ng pagsubok na ito. Ang bawat Android antivirus app ay dapat na makita at ihinto ang pagtatangka.
Pagkapribado
Gumamit kami ng impormasyon mula sa database ng database ng privacy ng Exodo upang maghanap ng mga mapanganib na pahintulot at tracker sa advertising. Narito ang nahanap namin:
Ang mobile advertising ay isang malaking negosyo, at ang mga vendor ay maaaring kumita ng maraming pera na nagpapakita ng mga naka-target na ad. Ngunit upang ma-target ang mga ito, kailangan ng mga advertiser ng impormasyon tungkol sa mga personal na gawi at kagustuhan ng mga gumagamit. Kaya ang mga tracker ay nagpapadala ng impormasyon tungkol sa pag-browse at kasaysayan ng paghahanap pabalik sa mga advertiser, na gumagamit nito upang mai-target at maglingkod sa mga mobile ad.
Sa aming pagsusuri, ang seguridad ng dfndr ay gumagamit ng mas maraming mga tracker ng advertising kaysa sa anumang iba pang libreng antivirus solution. Ang manipis na bilang ng mga tracker ng advertising na app na tinukoy ay kahanga-hanga. Tulad ng masasabi namin, ang dfndr ay gumagamit lamang ng halos lahat ng palitan ng ad doon ay upang maghatid ng mga naka-target na ad.
Hinihiling din ng dfndr ang pahintulot upang ma-access ang masarap na data ng lokasyon, ma-access ang camera, basahin at isulat ang mga contact, tingnan ang address book, at kunin ang IMEI (natatanging ID) at numero ng telepono ng aparato.
Mga pagkabigo ng VIPRE Mobile
Natagpuan namin ang dalawang kahinaan, isang kritikal at isang seryoso, na isiniwalat namin sa VIPRE. Nagtrabaho sila sa amin upang maipatupad ang isang pag-aayos, at maaari naming kumpirmahin ang mga kahinaan ay na-patch.
Ang VIPRE Mobile na mga leak libro ng gumagamit
Gamit ang online dashboard, natuklasan namin na posible para sa mga umaatake na ma-access ang mga libro ng address ng mga gumagamit ng VIPRE Mobile na pinagana ang cloud sync. Batay sa aming patunay-ng-konsepto at ang pagiging popular ng app, tinantya namin ang higit sa isang milyong mga contact na nakaupo sa web na walang katiyakan.
Ang kapintasan ay sanhi ng nasira o hindi maganda na ipinatupad ang control control, na nagpapakita bilang isang hindi ligtas na direktang sanggunian ng object (IDOR) sa kahinaan sa VIPRE Mobile. Sinusulit lamang ng script na responsable upang matiyak na ang pag-atake ay naka-log in. Walang karagdagang pagsusuri ang ginawa upang matiyak na ang kahilingan ay isinagawa ng wastong aparato o account.
Ang pag-iingat sa VIPRE sa seguridad ay naglalagay sa personal na impormasyon ng milyun-milyong mga tao na nanganganib, halos lahat ng mga ito ay mga kaibigan at kasamahan ng mga gumagamit ng VIPRE Mobile
Sa pamamagitan ng pagsasamantala sa kahinaan, posible para sa isang kalaban na mag-ikot sa bawat account ng gumagamit at i-download ang kanilang mga contact sa format ng VCARD. Marami sa mga leak contact ay naglalaman ng buong pangalan, larawan, address, at tala na may sensitibong personal na impormasyon.
Ang mga alerto ng virus sa VIPRE ay madaling napuslit
Ang mga alerto ng virus sa VIPRE mobile ay madaling dinukdok. Natagpuan namin ang isang katulad na kahinaan ng IDOR na nakakaapekto sa paraan ng pag-uulat at ipinapakita ng mga alerto sa virus. Ang paggamit ng kahinaan na ito hayaan kaming magpadala ng ganap na pekeng mga alerto ng virus sa anumang gumagamit na may isang wastong account.
Ang pagbuo ng mapanlinlang na mga alerto at pagpapadala ng mga ito sa hindi nagtutuon ng mga gumagamit ay walang kwenta. Natagpuan namin na maaari naming i-edit ang mga patlang sa kahilingan sa alerto upang sabihin ito kahit anong gusto namin
Nagawa naming itulak ang mga pekeng alerto sa pamamagitan ng pagkuha ng kahilingan na nabuo kapag natagpuan ang isang virus, pagkatapos ay manipulahin ang kahilingan na baguhin ang user ID at iba pang mga parameter. Ang resulta ay isang tunay na naghahanap ng virus na alerto na ipinapakita sa VIPRE Mobile dashboard ng biktima.
Kulang ang access control ng VIPRE
Nangako ang VIPRE Mobile ng isang ligtas na backup para sa iyong personal na data, ngunit ang aktuwal nilang ipinagbibili ng mga customer ay hindi lalapit. Ang kakulangan ng epektibong control control ay nakagugulat. Nagawa naming ma-access ang malalim na pribadong impormasyon sa kagustuhan, at mag-post ng mga pekeng mga alerto sa malware sa anumang wastong account.
“Ang dalawang mga kahinaan ng VIPRE na ito ay ang pinaka kritikal na nahanap ko,” ulat ni Khaled, “Naaapektuhan nila ang kapwa privacy at ang integridad ng application. Dapat simulan ng VIPRE na magsagawa ng regular na pagsubok sa pagtagos sa lahat ng kanilang mga aplikasyon. “
Hindi isinara ng AEGISLAB ang kanilang dashboard
Natuklasan at naiulat namin ang isang malubhang kahinaan na nakakaapekto sa mga serbisyo sa web ng AEGISLAB. Nagtrabaho sila sa amin upang ayusin ang problema, at ang aming pagsubok ay nagpapakita na ito ay naka-patched.
Ang dashboard ng AEGISLAB ay mahina
Natagpuan namin ang ilang mga flaws sa script ng site (XSS) na nakakaapekto sa isang script na tumatakbo sa my2.aegislab.com domain. Dahil wala sa mga parameter na naipasa sa script ang na-sanitized, magiging maliit para sa isang magsasalakay na magsagawa ng malisyosong code.
Ang mga kahinaan sa XSS ay nagbubukas ng magkakaibang hanay ng mga pintuan para sa mga umaatake. Nagbibigay sila ng isang entry point para sa karagdagang pag-atake at magpahiram ng pagiging lehitimo sa mga ekspedisyon sa phishing.
Mga kahinaan sa BullGuard
Naiulat namin ang dalawang kahinaan sa seguridad sa BullGuard, parehong malubhang. Nagtrabaho sila sa amin upang matugunan ang mga kakulangan, at nakumpirma namin ang kanilang pag-aayos.
Ang BullGuard ay napakadali upang hindi paganahin ang malayuan
Ang BullGuard Mobile Security ay naapektuhan ng isang kahinaan ng IDOR na nagpapahintulot sa isang remote na magsasalakay na huwag paganahin ang proteksyon ng antivirus. Natagpuan namin na ito ay walang halaga para sa isang umaatake upang umulit sa pamamagitan ng mga ID ng customer at huwag paganahin ang BullGuard sa bawat aparato.
Nagawa naming makagambala at mabago ang kahilingan na huwag paganahin ang BullGuard Mobile antivirus. Ang kahinaan ay nakakaapekto sa lahat ng mga gumagamit, at madaling magamit upang hindi paganahin ang proteksyon ng virus para sa bawat customer
Natagpuan ng aming pagsubok ang kahilingan na nabuo kapag ang isang gumagamit ay nag-iwas sa proteksyon ng antivirus ay maaaring makuha at mabago. Sa pamamagitan ng pagbabago ng ID ng gumagamit sa kahilingang ito, ang proteksyon ng antivirus sa anumang aparato ay maaaring hindi paganahin. Ang pag-access sa pag-access ay hindi lumilitaw na nasa lugar upang matiyak na ang tamang gumagamit ay gumagawa ng kahilingan.
Tinatanggap ng BullGuard ang mga bagong gumagamit
Natuklasan namin ang isa sa mga script na may pananagutan sa pagproseso ng mga bagong gumagamit sa website ng BullGuard ay mahina rin sa XSS. Ang script na pinag-uusapan ay hindi nagpapagaan ng anumang mga parameter na ipinasa dito, na nagpapahintulot sa isang umaatake na magpatakbo ng malisyosong code.
Sa kasong ito, walang kuwenta ang pagpapakita ng isang alerto sa pahina. Sa iba pang mga kaso, maaaring gamitin ng mga kaaway ang kahinaan na ito sa mga session ng pag-hijack, ani ang personal na data, o magsagawa ng maraming iba pang mga pag-atake. Halimbawa, ang mga mataas na tiwala na website tulad ng BullGuard ay gumawa ng isang perpektong platform para sa mga kampanya sa phishing.
Ang nakakahiyang lihim ng BullGuard
Ang kahinaan ng IDOR ay nakakahiya dahil nakakakuha ito para sa isang nagbebenta ng antivirus. Ang mga gumagamit ay umaasa sa antivirus software bilang isang linya ng pagtatanggol para sa kanilang mga aparato, kaya kapag maaari itong hindi paganahin ang tahimik at malayuan, iyon ay isang nagwawasak na suntok. Kinumpuni ng BullGuard ang parehong mga kahinaan, ngayon kailangan nilang magtrabaho sa pag-aayos ng kanilang reputasyon sa mga gumagamit.
Inalok ni Khaled ang kanyang mga impression sa BullGuard XSS flaw, “Ang mga kahinaan sa script ng cross-site ay pangkaraniwan sa mga aplikasyon sa web, ngunit ang katotohanan na ang kahinaan na ito ay umiiral sa kanilang pangunahing website ay nangangahulugan na marahil ay hindi nila gumanap ang awtomatikong pag-scan sa kanilang site bago ilunsad.”
Ano ang mali sa mobile antivirus?
Maraming bagay ang mali sa mobile antivirus software, ngunit mayroong isang malaking problema na nakakaapekto sa segment ng merkado: Hindi sapat ang mga mobile virus at malware.
Noong 2023, iniulat ng Kaspersky Labs na hinarangan nito ang 116.5 milyong mga impeksyon sa virus at malware sa mga aparato ng Android at iOS. Tila isang malaking halaga ngunit, ayon sa kanilang mga numero, 10% lamang ng mga gumagamit sa US, 5% sa Canada, at 6% sa UK ang kinakailangang maprotektahan mula sa isang banta sa mobile noong nakaraang taon.
Kaya ang mga vendor ay nakatuon sa pagdaragdag ng mga tampok upang makilala ang kanilang mga sarili, kung minsan sa halip na mapabuti ang kanilang codebase. At malinaw na hindi sila palaging gumagawa ng isang mahusay na trabaho. Ang bawat kahinaan na natagpuan namin ay may isang system na nagkataon sa aktwal na pag-scan ng virus.
Ang aming patunay ng VIPRE na konsepto ay maikli at sa puntong iyon.
Dahil hindi pangkaraniwan ang mobile malware (sa ngayon), napakadali para sa mga vendor na maglabas ng isang mas mababang produkto nang hindi napansin ng mga gumagamit. Sa kapaligiran na iyon, ang mga masamang apps na may mga bagong tampok ay nagiging popular, at walang anuman ang gusto ng Play Store algorithm kaysa sa pagrekomenda ng mga sikat na apps. Kaya nagpapatuloy ang siklo.
Mayroon bang solusyon?
“Sa kasamaang palad sa maraming mga organisasyon, ang panig ng negosyo ay nanalo sa panig ng seguridad,” sinabi sa amin ni Khaled, “Tulad ng kaso ng VIPRE Mobile. Sasabihin ko na ang anumang may kakayahang tumagos na tester ay maaaring makilala ang mga kahinaan na ito. “
“Maraming mga negosyo ang kailangang bigyang pansin at tiyakin na ang seguridad ay na-tackle sa simula ng isang proyekto, at sa tabi ng pag-unlad ng aplikasyon, sa halip na sa huli kapag huli na.”
Sana makinig sila, dahil marami pa ring masamang, nasira, at walang katiyakan na mga Android antivirus apps na naroon.
Maaari mo ring gustoAntivirusAng pinakamahusay na libreng pag-alis ng rootkit, pagtuklas at scanner na programaAntivirus10 libreng virus at mga tool sa pag-alis ng malwareAntivirus8 Karaniwang uri ng malware na ipinaliwanag sa simpleng InglesAntivirusPaano Na-scan ng isang Website para sa Malware at Ayusin ang mga Hacked Site