總會(huì)有不少讀者詢問(wèn)，他們的安卓系統(tǒng)上安裝的安全軟件是否真正有效？因?yàn)樗麄儚臎](méi)用安全軟件掃描出任何惡意軟件。

安全領(lǐng)域的專業(yè)人士，包括我在內(nèi)，一直被要求在所有能夠聯(lián)網(wǎng)的設(shè)備上開(kāi)發(fā)各種病毒防護(hù)軟件，包括智能手機(jī)上可用的安全軟件。而手機(jī)平臺(tái)上已經(jīng)開(kāi)發(fā)出來(lái)的安全軟件沒(méi)有掃描出惡意軟件，確實(shí)有些奇怪。

思考再三，我總結(jié)出了產(chǎn)生這種現(xiàn)象的幾點(diǎn)假設(shè)的原因：

· 手機(jī)系統(tǒng)上沒(méi)有惡意軟件

· 黑客們沒(méi)跟上時(shí)代潮流

· 目前手機(jī)技術(shù)已經(jīng)很好了，不需要安全軟件也能保證安全

· 安全軟件效果不佳，掃描不到惡意軟件

前兩條假設(shè)很容易排除，因?yàn)椋?/p>

· 目前已經(jīng)有針對(duì)安卓固件的惡意軟件了。

· 黑客們比我們想象的聰明

那么后兩種假設(shè)的可能性呢？我決定像專業(yè)測(cè)試機(jī)構(gòu)一樣進(jìn)行一次測(cè)試。為了進(jìn)行這次測(cè)試，我特意把大學(xué)里有關(guān)評(píng)測(cè)方面的教科書(shū)找了出來(lái)，盡管很多測(cè)試?yán)碚摱际?0年代的，但是現(xiàn)在看來(lái)也并不是特別過(guò)時(shí)。

復(fù)習(xí)了一會(huì)兒，我大學(xué)學(xué)過(guò)的那些有關(guān)測(cè)試的知識(shí)都回來(lái)了，不過(guò)我也發(fā)現(xiàn)要進(jìn)行精確的評(píng)測(cè)，是個(gè)非常復(fù)雜的事兒。不過(guò)別擔(dān)心，我有辦法。

我的計(jì)劃

我的計(jì)劃就是：把William叫來(lái)幫忙。不錯(cuò)吧?在跟他解釋了這次評(píng)測(cè)的方法和目的后，他提出了一個(gè)問(wèn)題，讓我一下子清醒了，他說(shuō)：“Michael，我很樂(lè)意幫你，但是你要先給我找到一些安卓系統(tǒng)上的惡意代碼。”

他這一句話，讓我腦中忽然浮現(xiàn)出了一個(gè)奇怪的場(chǎng)景：我身穿黑斗篷，手持匕首，潛入所謂的“數(shù)字黑社會(huì)”，盜取他們開(kāi)發(fā)的用于安卓系統(tǒng)的惡意代碼。“我會(huì)想辦法解決這個(gè)問(wèn)題的。”我回答William。

第二天，我經(jīng)過(guò)思考，決定放棄那個(gè)類似于科幻片的行動(dòng)，而是去聯(lián)系伯克利大學(xué)的一個(gè)天才女博士生Adrienne Porter Felt。她對(duì)于安卓的一切都相當(dāng)了解。實(shí)際上，以前 Adrienne曾經(jīng)多次幫助我和William撰寫(xiě)有關(guān)安卓系統(tǒng)的文章。

我給Adrienne打了電話，她說(shuō)給我惡意代碼的樣本沒(méi)問(wèn)題，但是好像她對(duì)于我能否安全的處理這些樣本有些懷疑。于是我把William搬了出來(lái)，她這才放心了。真讓我郁悶。

William的問(wèn)題解決了，測(cè)試即將展開(kāi)——起碼我是這樣計(jì)劃的。

安卓的不同面孔

臨測(cè)試前，我才發(fā)現(xiàn)，現(xiàn)在市場(chǎng)上有各種版本的安卓系統(tǒng)，使用安卓系統(tǒng)的手機(jī)也相當(dāng)多。問(wèn)題來(lái)了：我該使用哪種手機(jī)，更重要的是使用哪個(gè)版本的安卓系統(tǒng)進(jìn)行殺軟的評(píng)測(cè)?于是我又回去翻看有關(guān)評(píng)測(cè)方法的教科書(shū)，希望找到答案。不過(guò)很快我又有了另一個(gè)計(jì)劃。

我打電話給William，然后問(wèn)了一個(gè)非常精妙的問(wèn)題：“你們現(xiàn)在都用什么手機(jī)進(jìn)行評(píng)測(cè)啊?”

William告訴我：“我現(xiàn)在有兩個(gè)安卓手機(jī)，一個(gè)是安卓2.1系統(tǒng)的HTC Hero，還有一個(gè)是安卓2.3.4系統(tǒng)的Nexus One”。

“那我們就用這兩個(gè)手機(jī)進(jìn)行殺軟評(píng)測(cè)吧!”我建議。

William也認(rèn)為我的選擇是正確的，尤其是選擇Nexus One作為評(píng)測(cè)用機(jī)，他說(shuō)：

“Nexus One是Google針對(duì)‘開(kāi)發(fā)人員’推出的設(shè)備，由HTC代工。機(jī)器本身沒(méi)有加鎖，也沒(méi)有與運(yùn)營(yíng)商綁定。算是目前市場(chǎng)上專門(mén)針對(duì)開(kāi)發(fā)人員推出的幾款產(chǎn)品之一。由于操作系統(tǒng)是完整的，沒(méi)有任何運(yùn)營(yíng)商添加的累贅功能，因此安卓手機(jī)軟件開(kāi)發(fā)人員也非常喜歡用這款手機(jī)作為軟件測(cè)試用機(jī)。另外，Nexus One也不是過(guò)于昂貴或難以購(gòu)買(mǎi)，因此作為測(cè)試用機(jī)非常合適，可用于各種手機(jī)軟件產(chǎn)品的測(cè)試。”

第一輪測(cè)試

William和我決定先解決我開(kāi)頭提到的那四個(gè)假設(shè)中的第三個(gè)，即“目前手機(jī)技術(shù)已經(jīng)很好了，不需要安全軟件也能保證安全。”

首先我要介紹我采用的惡意軟件樣本，即Android.DogoWar:

“這是一款針對(duì)安卓系統(tǒng)平臺(tái)的木馬程序，可以利用被感染的手機(jī)，向手機(jī)電話簿中的全部聯(lián)系人發(fā)送SMS短信。這個(gè)木馬是惡作劇程序Dog Wars的一個(gè)重新打包版本，可以從網(wǎng)上下載到，并通過(guò)手動(dòng)安裝到手機(jī)中。”

William覺(jué)得這是個(gè)很好的惡意代碼范本，因?yàn)槠渲写蟛糠执a都比較新(2011年8月15日被發(fā)現(xiàn))，而且對(duì)他提供的測(cè)試用機(jī)的系統(tǒng)永久性傷害最低。

William是實(shí)施測(cè)試的具體人員，我只要等著結(jié)果就好了。最后，William發(fā)郵件給我說(shuō)：

“我安裝了被感染的軟件，裝好后，惡意代碼發(fā)動(dòng)的攻擊馬上就開(kāi)始了。”

由此推翻了我的第三條假設(shè) — 目前的手機(jī)操作系統(tǒng)技術(shù)并不足夠安全?，F(xiàn)在就剩下最后一條假設(shè)了：安全軟件效果不佳，掃描不到惡意軟件。

選擇哪些安全軟件?

William和我在這個(gè)問(wèn)題上糾結(jié)了很久，最終我也沒(méi)明白我們?yōu)槭裁匆x擇這些安全軟件。所以我只好把各個(gè)軟件自己的銷售宣傳內(nèi)容總結(jié)一下給大家參考。

AVG Antivirus for Smartphones & Tablets：可自動(dòng)檢測(cè)有害的SMS短信和手機(jī)程序。Anti-Virus 免費(fèi)版可以實(shí)時(shí)保護(hù)您的手機(jī)免受病毒、惡意軟件、和漏洞攻擊。

Lookout Mobile Security：Lookout的免費(fèi)安全工具獲得過(guò)安全&反病毒大獎(jiǎng)，具有反病毒、號(hào)碼定位、手機(jī)數(shù)據(jù)備份等多種功能。

McAfee Mobile Security：是一個(gè)強(qiáng)大的軟件套裝，包含了針對(duì)安卓系統(tǒng)的McAfee VirusScan Mobile，McAfee WaveSecure，以及McAfee SiteAdvisor產(chǎn)品。該套解決方案可保護(hù)您手機(jī)丟失后的數(shù)據(jù)安全，可對(duì)手機(jī)中的個(gè)人數(shù)據(jù)進(jìn)行備份和恢復(fù)，防止手機(jī)病毒和間諜軟件入侵手機(jī)，讓您通過(guò)手機(jī)上網(wǎng)更加安全。

Norton Mobile Security Lite:具有惡意軟件防護(hù)功能和手機(jī)丟失后的數(shù)據(jù)保護(hù)功能。具有諾頓特有的反惡意軟件、反病毒和手機(jī)安全技術(shù)。Norton Mobile Security Lite for Android可以確保您手機(jī)中的數(shù)據(jù)安全。

Trend Micro Mobile Security-Personal Edition: 這是您數(shù)字生活中最好的安全防護(hù)產(chǎn)品。可以保護(hù)您的Android設(shè)備免遭惡意軟件和網(wǎng)絡(luò)攻擊的威脅，同時(shí)具有丟失后數(shù)據(jù)保護(hù)的功能。

我們所選的以上安全產(chǎn)品都有免費(fèi)版和收費(fèi)版之分，而我們測(cè)試采用的都是免費(fèi)版（AVG, Lookout, 和Norton）以及試用版（McAfee和Trend Micro）。

我們介紹了作者測(cè)試安卓系統(tǒng)上安全軟件有效性的實(shí)施計(jì)劃，本文將為你展示具體的實(shí)施過(guò)程和評(píng)測(cè)結(jié)果。#p#

William的測(cè)試

William設(shè)計(jì)了一系列測(cè)試，包括上面提到的惡意軟件DogoWar測(cè)試。每個(gè)測(cè)試都在兩部測(cè)試用機(jī)上分別進(jìn)行，每次測(cè)試，手機(jī)中都只安裝一種安全軟件，因?yàn)槎喾N安全軟件同時(shí)安裝在一部手機(jī)中，會(huì)影響測(cè)試結(jié)果。

下面我會(huì)列出每個(gè)測(cè)試的說(shuō)明和相應(yīng)的測(cè)試結(jié)果。

DogoWar：手機(jī)重啟后，會(huì)有一個(gè)名為com.dogbite.Doghouse的惡意服務(wù)啟動(dòng)，并建立名為com.dogbite.Rabies的服務(wù)。這個(gè)服務(wù)會(huì)查找所有帶有手機(jī)號(hào)碼的聯(lián)系人，并向這些號(hào)碼發(fā)送SMS短信。然后這個(gè)惡意服務(wù)會(huì)向73822這個(gè)號(hào)碼發(fā)送硬件編碼的SMS，繼續(xù)利用人類善待動(dòng)物組織的免費(fèi)SMS短信服務(wù)招攬潛在的受害者。

無(wú)害程序（重打包名為DogoWar）：這個(gè)測(cè)試使用了一個(gè)在屏幕上顯示“Hello world!”的無(wú)害程序。與上面提到的DogoWar唯一的相同點(diǎn)就是程序的名字。如果殺軟將這個(gè)程序列為惡意程序，將被看做是一種誤判。

應(yīng)用程序（被Rabies感染）：這個(gè)測(cè)試是模擬一個(gè)帶有已知病毒的合法的未知程序，即將上面使用的無(wú)害程序“hello world”被com.dogbite.rabies惡意服務(wù)感染后再安裝到手機(jī)中，查看各個(gè)殺軟的效果。

如果殺軟有所動(dòng)作，說(shuō)明它能夠從合法的軟件代碼中找出惡意代碼。目前電腦中的殺軟主要采用啟發(fā)式掃描的方法來(lái)實(shí)現(xiàn)這個(gè)功能。目前智能手機(jī)上的安全軟件可能也會(huì)有這個(gè)功能，但是手機(jī)系統(tǒng)的硬件資源不一定能負(fù)擔(dān)的起這種功能的資源需求。

Adrienne的評(píng)論

我將上面的這些測(cè)試結(jié)果發(fā)給了我們的安卓技術(shù)指導(dǎo)，博士生Adrienne，她看過(guò)之后發(fā)來(lái)了下面這段評(píng)論：

“看上去這些殺軟并不會(huì)對(duì)重新打包的DogoWar進(jìn)行掃描，因?yàn)槟壳耙阎腄ogoWar只有一種傳播程序?？赡軞④泴?duì)于具有大量變種的惡意代碼會(huì)有更精確的掃描方式。”

這對(duì)于William來(lái)說(shuō)是個(gè)不錯(cuò)的提示，于是他又打算使用一個(gè)名為DroidDeluxe的惡意代碼進(jìn)行進(jìn)一步的測(cè)試。

DroidDeluxe：這是一個(gè)基于安卓系統(tǒng)的root exploit程序。它可以在用戶不知情的情況下獲取手機(jī)管理權(quán)限。

　無(wú)害程序（重新打包名為DroidDeluxe）同樣還是一個(gè)只能顯示“Hello world!”的程序，我們將其重新打包命名為DroidDeluxe 。如果安全軟件將其標(biāo)記出來(lái)，說(shuō)明是誤判。

DroidDeluxe（重新打包）：我們利用反匯編器對(duì)這個(gè)惡意軟件進(jìn)行重新打包，將其內(nèi)部名稱修改，但是其余代碼不做任何變動(dòng)。如果安全軟件在掃描內(nèi)部名稱的同時(shí)也會(huì)掃描程序代碼，就會(huì)發(fā)現(xiàn)DroidDeluxe病毒，否則就不會(huì)發(fā)現(xiàn)。

William的點(diǎn)評(píng)

由于通過(guò)測(cè)試， William對(duì)于這幾款安全軟件有了相當(dāng)?shù)恼J(rèn)識(shí)，我求他對(duì)于每個(gè)安全軟件進(jìn)行一些點(diǎn)評(píng)：

AVG:

該軟件的掃描速度要慢于其它軟件

加載文件系統(tǒng)后，AVG不會(huì)自動(dòng)掃描SD卡中的文件

只掃描代碼的內(nèi)部打包名稱，導(dǎo)致誤判

只在軟件安裝過(guò)程中對(duì)軟件進(jìn)行掃描

無(wú)法有效檢測(cè)重打包的惡意軟件

AVG 只檢測(cè)惡意軟件的打包名稱

Lookout:

如果惡意代碼不被安裝，就無(wú)法將其檢測(cè)出來(lái)。

用戶界面超簡(jiǎn)潔。#p#

有誤判情況

可以檢測(cè)出重新打包的惡意軟件，說(shuō)明它不止掃描代碼的打包名稱。

McAfee:

入侵式安裝。試用版要求7天內(nèi)注冊(cè)。為手機(jī)增加SMS短信驗(yàn)證功能。

沒(méi)有誤報(bào)，能夠截獲抑制病毒，包括重新打包的惡意代碼。

Norton:

非入侵式安裝，但是安裝過(guò)程有些繁瑣

四個(gè)真正的病毒威脅只掃描到了一個(gè)

沒(méi)有誤報(bào)

Trend Micro:

軟件最近重新修改過(guò)

新版本具有較好的用戶體驗(yàn)

Adrienne的評(píng)論

做完測(cè)試后，William和我都在忐忑的等待Adrienne的評(píng)論：

“安卓系統(tǒng)上的惡意軟件相比臺(tái)式機(jī)要稀少的多，但是最近也逐漸出現(xiàn)了。手機(jī)用戶如果從非官方渠道下載應(yīng)用軟件，應(yīng)該小心可能產(chǎn)生的安全問(wèn)題，最好要安裝一個(gè)安全軟件。

你們的測(cè)試結(jié)果表明安卓系統(tǒng)上的惡意軟件掃描是一個(gè)比較新的領(lǐng)域，并不是所有知名品牌的安全產(chǎn)品在手機(jī)平臺(tái)都能取得良好的效果。

從技術(shù)角度講，目前手機(jī)安全軟件面臨的一個(gè)問(wèn)題是如何識(shí)別合法程序中重新打包的惡意代碼。我們目前看到市面上傳播的很多惡意代碼都是通過(guò)這種方式進(jìn)行傳播的，因此這方面的掃描技術(shù)要加強(qiáng)。

不過(guò)這個(gè)問(wèn)題也確實(shí)不好處理，因?yàn)榘踩浖残枰苊膺^(guò)多的誤判，如果采用啟發(fā)式查毒，將正常的程序誤判為病毒，用戶也會(huì)覺(jué)得產(chǎn)品不夠聰明和可靠。在這方面我也和同事們一起正在研究，希望未來(lái)幾個(gè)月后會(huì)有有效的解決方案。”

總結(jié)

首先我要感謝那些安卓系統(tǒng)安全軟件的開(kāi)發(fā)人員。通過(guò)這次測(cè)試，我認(rèn)識(shí)到了他們對(duì)于安卓平臺(tái)所作的努力和取得的成果。

而之所以要做這個(gè)評(píng)測(cè)，也是William和我出于對(duì)所有使用手機(jī)安全產(chǎn)品的用戶負(fù)責(zé)的原因，希望大家不要誤以為手機(jī)安全軟件只是擺設(shè)。

【編輯推薦】

1. 美國(guó)拒絕解釋禁止華為競(jìng)標(biāo)緣由：涉及國(guó)家安全
2. IPv6無(wú)法解決全部安全問(wèn)題
3. 美政府以國(guó)家安全為由禁止華為參與競(jìng)標(biāo)遭質(zhì)詢
4. 集成反間諜軟件 Array桌面快車新增安全保護(hù)層
5. H3C云網(wǎng)絡(luò)和云安全系統(tǒng)成功實(shí)踐于成都云計(jì)算中心