Phần mềm diệt virus cho Android Còn Lâu Mới Hoàn Thiện

Các chương trình diệt virus trên PC có một lịch sử giao động. Mặc dù thông thường hữu ích, chúng vẫn phải bắt kịp với các mối đe dọa tiến triển - và quyền truy cập sâu vào hệ thống của chúng đôi khi đã tạo điều kiện cho những cuộc tấn công tồi tệ hơn. Bây giờ, khi các sản phẩm diệt virus trở nên phổ biến cho các thiết bị Android, chúng dường như đang mắc phải nhiều sai lầm cũ.

Một phần quan trọng của nhược điểm hiện tại xuất phát từ sự chưa trưởng thành tương đối trong các sản phẩm diệt virus cho Android. Các nhà nghiên cứu tại Đại học Georgia đã phân tích 58 lựa chọn chính thống và phát hiện rằng nhiều sản phẩm dễ bị đánh bại, thường là do không tiếp cận nâng cao và đa dạng trong việc phát hiện malware. Họ mô phỏng tư duy của một kẻ tấn công và tạo ra một công cụ gọi là AVPass, hoạt động nhằm đưa malware vào hệ thống mà không bị phát hiện bởi phần mềm diệt virus. Trên 58 chương trình mà AVPass kiểm tra, chỉ có hai - từ AhnLab và WhiteArmor - luôn ngăn chặn được các cuộc tấn công từ AVPass.

“Phần mềm diệt virus cho nền tảng di động thực sự chỉ mới bắt đầu đối với một số công ty - nhiều phần mềm diệt virus cho Android có thể là phiên bản đầu tiên của họ,” Max Wolotsky, một sinh viên tiến sĩ tại Đại học Georgia tham gia vào nghiên cứu nói. “Chúng tôi nhất định sẽ cảnh báo người tiêu dùng rằng họ nên xem xét nhiều hơn chỉ việc sử dụng AV. Bạn cần phải cẩn trọng.”

Phần mềm diệt virus hiện đại sử dụng các kỹ thuật học máy để tiến triển cùng lĩnh vực malware. Vì vậy, khi tạo ra AVPass, các nhà nghiên cứu bắt đầu bằng cách phát triển các phương pháp để vượt qua các thuật toán phòng thủ mà họ có thể tiếp cận (như những thuật toán được tạo ra cho nghiên cứu học thuật hoặc các dự án mã nguồn mở khác) và sau đó sử dụng những chiến lược này như cơ sở để tìm ra các cuộc tấn công chống lại các phần mềm diệt virus dành cho người tiêu dùng - các sản phẩm mà bạn không thể xem mã nguồn điều khiển chúng. Đội ngũ sẽ trình bày và phát hành AVPass tại hội nghị hack Black Hat ở Las Vegas vào ngày thứ Năm.

Free Pass

Để kiểm tra 58 sản phẩm diệt virus cho Android và tìm ra những cách để vượt qua mỗi sản phẩm, các nhà nghiên cứu đã sử dụng dịch vụ gọi là VirusTotal, một dịch vụ cố gắng xác định các liên kết và mẫu malware bằng cách quét chúng thông qua một hệ thống tích hợp hàng chục công cụ và cung cấp kết quả về những gì mỗi công cụ đã phát hiện. Bằng cách truy vấn VirusTotal với các thành phần malware khác nhau và xem công cụ nào đã phát hiện ra mẫu, các nhà nghiên cứu đã có thể hình dung ra các tính năng phát hiện mà mỗi phần mềm diệt virus có. Dưới một giấy phép học thuật, VirusTotal giới hạn nhóm này dưới 300 truy vấn cho mỗi mẫu malware, nhưng các nhà nghiên cứu cho biết ngay cả số lượng nhỏ này cũng đủ để thu thập dữ liệu về cách các dịch vụ khác nhau phát hiện malware.

Trước cuộc tìm hiểu này, nhóm đã phát triển một tính năng cho AVPass gọi là Chế độ Imitation, giúp che giấu các mẫu thử nghiệm được gửi để quét bởi phần mềm diệt virus để những đoạn mã không bị xác định và đưa vào danh sách đen. “Chế độ Imitation dành cho việc làm mờ malware của chúng tôi,” Chanil Jeon, một nhà nghiên cứu khác tham gia vào dự án nói. “Chúng tôi trích xuất các đặc điểm malware cụ thể và chèn chúng vào một ứng dụng trống, để chúng tôi có thể kiểm tra xem đặc điểm hoặc sự kết hợp nào quan trọng cho việc phát hiện malware." Nhóm đã làm việc với các mẫu malware chính thống từ thư viện malware như VirusShare.com và DREBIN.

AVPass là một nguyên mẫu mã nguồn mở, là một phần của nghiên cứu rộng lớn tại Đại học Georgia về các thuật toán học máy (như những cái được sử dụng trong phần mềm diệt virus) và mức độ mà chúng có thể bị thao túng và lợi dụng. Nhưng nó cũng đóng vai trò như bình luận về cảnh quan tiến triển của phòng thủ di động.

Khả năng Phát triển

Nếu có một điều tích cực ở đây, đó là các công cụ diệt virus Android có công việc dễ dàng hơn các công cụ tương đương trên PC, ít nhất là trong thời điểm hiện tại. "Phần mềm độc hại Android không phải là loại phần mềm độc hại so với phần mềm độc hại trên PC," Mohammad Mannan, một nhà nghiên cứu bảo mật tại Đại học Concordia ở Montreal, người đã nghiên cứu về các lỗ hổng của phần mềm diệt virus nói. "Chúng chỉ là các ứng dụng giả mạo trong hầu hết các trường hợp, vì vậy chúng dễ dàng phát hiện hơn nhiều." Mannan cũng lưu ý rằng mặc dù các ứng dụng diệt virus Android có nhiều quyền hạn trong hệ thống, chúng không được đặc quyền như các ứng dụng diệt virus trên PC, điều này có thể giảm bớt lo ngại rằng phần mềm diệt virus đôi khi có thể bị lợi dụng như một lỗ hổng bảo mật trong chính nó. "AV di động chạy như một ứng dụng có đặc quyền, nhưng cuối cùng chỉ là một ứng dụng, không phải là một phần của hệ điều hành hoặc kernel," ông nói.

Tuy nhiên, hiện tại, những ưu điểm tiềm năng dường như bị che phủ bởi sự non trẻ của thị trường. Nhóm AVPass cho biết các nhà phát triển phần mềm diệt virus Android cần phát triển sản phẩm của họ để chương trình đang tìm kiếm nhiều đặc điểm độc hại cùng một lúc. Việc trốn qua một bảo vệ bảo mật dễ hơn so với 10. Và họ lưu ý rằng nghiên cứu của họ sẽ trở nên khó khăn và tốn nhiều thời gian hơn nếu các công cụ như VirusTotal không cụ thể hóa thông tin họ tiết lộ về mỗi dịch vụ.

"Kết quả này không phải là điều gì quá bất ngờ," Wolotsky nói. "Chúng tôi đã biết từ trước khi là nhà nghiên cứu bảo mật rằng lĩnh vực di động ít tiên tiến hơn nhiều. Chúng tôi hy vọng AVPass sẽ cung cấp cho [các nhà phát triển phần mềm diệt virus] một cách để xem cái gì hoạt động và cái gì không, bởi vì tôi không chắc họ đã có điều đó."