總會有不少讀者詢問，他們的安卓系統(tǒng)上安裝的安全軟件是否真正有效？因為他們從沒用安全軟件掃描出任何惡意軟件。

安全領域的專業(yè)人士，包括我在內，一直被要求在所有能夠聯(lián)網(wǎng)的設備上開發(fā)各種病毒防護軟件，包括智能手機上可用的安全軟件。而手機平臺上已經(jīng)開發(fā)出來的安全軟件沒有掃描出惡意軟件，確實有些奇怪。

思考再三，我總結出了產生這種現(xiàn)象的幾點假設的原因：

· 手機系統(tǒng)上沒有惡意軟件

· 黑客們沒跟上時代潮流

· 目前手機技術已經(jīng)很好了，不需要安全軟件也能保證安全

· 安全軟件效果不佳，掃描不到惡意軟件

前兩條假設很容易排除，因為：

· 目前已經(jīng)有針對安卓固件的惡意軟件了。

· 黑客們比我們想象的聰明

那么后兩種假設的可能性呢？我決定像專業(yè)測試機構一樣進行一次測試。為了進行這次測試，我特意把大學里有關評測方面的教科書找了出來，盡管很多測試理論都是70年代的，但是現(xiàn)在看來也并不是特別過時。

復習了一會兒，我大學學過的那些有關測試的知識都回來了，不過我也發(fā)現(xiàn)要進行精確的評測，是個非常復雜的事兒。不過別擔心，我有辦法。

我的計劃

我的計劃就是：把William叫來幫忙。不錯吧?在跟他解釋了這次評測的方法和目的后，他提出了一個問題，讓我一下子清醒了，他說：“Michael，我很樂意幫你，但是你要先給我找到一些安卓系統(tǒng)上的惡意代碼。”

他這一句話，讓我腦中忽然浮現(xiàn)出了一個奇怪的場景：我身穿黑斗篷，手持匕首，潛入所謂的“數(shù)字黑社會”，盜取他們開發(fā)的用于安卓系統(tǒng)的惡意代碼。“我會想辦法解決這個問題的。”我回答William。

第二天，我經(jīng)過思考，決定放棄那個類似于科幻片的行動，而是去聯(lián)系伯克利大學的一個天才女博士生Adrienne Porter Felt。她對于安卓的一切都相當了解。實際上，以前 Adrienne曾經(jīng)多次幫助我和William撰寫有關安卓系統(tǒng)的文章。

我給Adrienne打了電話，她說給我惡意代碼的樣本沒問題，但是好像她對于我能否安全的處理這些樣本有些懷疑。于是我把William搬了出來，她這才放心了。真讓我郁悶。

William的問題解決了，測試即將展開——起碼我是這樣計劃的。

安卓的不同面孔

臨測試前，我才發(fā)現(xiàn)，現(xiàn)在市場上有各種版本的安卓系統(tǒng)，使用安卓系統(tǒng)的手機也相當多。問題來了：我該使用哪種手機，更重要的是使用哪個版本的安卓系統(tǒng)進行殺軟的評測?于是我又回去翻看有關評測方法的教科書，希望找到答案。不過很快我又有了另一個計劃。

我打電話給William，然后問了一個非常精妙的問題：“你們現(xiàn)在都用什么手機進行評測啊?”

William告訴我：“我現(xiàn)在有兩個安卓手機，一個是安卓2.1系統(tǒng)的HTC Hero，還有一個是安卓2.3.4系統(tǒng)的Nexus One”。

“那我們就用這兩個手機進行殺軟評測吧!”我建議。

William也認為我的選擇是正確的，尤其是選擇Nexus One作為評測用機，他說：

“Nexus One是Google針對‘開發(fā)人員’推出的設備，由HTC代工。機器本身沒有加鎖，也沒有與運營商綁定。算是目前市場上專門針對開發(fā)人員推出的幾款產品之一。由于操作系統(tǒng)是完整的，沒有任何運營商添加的累贅功能，因此安卓手機軟件開發(fā)人員也非常喜歡用這款手機作為軟件測試用機。另外，Nexus One也不是過于昂貴或難以購買，因此作為測試用機非常合適，可用于各種手機軟件產品的測試。”

第一輪測試

William和我決定先解決我開頭提到的那四個假設中的第三個，即“目前手機技術已經(jīng)很好了，不需要安全軟件也能保證安全。”

首先我要介紹我采用的惡意軟件樣本，即Android.DogoWar:

“這是一款針對安卓系統(tǒng)平臺的木馬程序，可以利用被感染的手機，向手機電話簿中的全部聯(lián)系人發(fā)送SMS短信。這個木馬是惡作劇程序Dog Wars的一個重新打包版本，可以從網(wǎng)上下載到，并通過手動安裝到手機中。”

William覺得這是個很好的惡意代碼范本，因為其中大部分代碼都比較新(2011年8月15日被發(fā)現(xiàn))，而且對他提供的測試用機的系統(tǒng)永久性傷害最低。

William是實施測試的具體人員，我只要等著結果就好了。最后，William發(fā)郵件給我說：

“我安裝了被感染的軟件，裝好后，惡意代碼發(fā)動的攻擊馬上就開始了。”

由此推翻了我的第三條假設 — 目前的手機操作系統(tǒng)技術并不足夠安全。現(xiàn)在就剩下最后一條假設了：安全軟件效果不佳，掃描不到惡意軟件。

選擇哪些安全軟件?

William和我在這個問題上糾結了很久，最終我也沒明白我們?yōu)槭裁匆x擇這些安全軟件。所以我只好把各個軟件自己的銷售宣傳內容總結一下給大家參考。

AVG Antivirus for Smartphones & Tablets：可自動檢測有害的SMS短信和手機程序。Anti-Virus 免費版可以實時保護您的手機免受病毒、惡意軟件、和漏洞攻擊。

Lookout Mobile Security：Lookout的免費安全工具獲得過安全&反病毒大獎，具有反病毒、號碼定位、手機數(shù)據(jù)備份等多種功能。

McAfee Mobile Security：是一個強大的軟件套裝，包含了針對安卓系統(tǒng)的McAfee VirusScan Mobile，McAfee WaveSecure，以及McAfee SiteAdvisor產品。該套解決方案可保護您手機丟失后的數(shù)據(jù)安全，可對手機中的個人數(shù)據(jù)進行備份和恢復，防止手機病毒和間諜軟件入侵手機，讓您通過手機上網(wǎng)更加安全。

Norton Mobile Security Lite:具有惡意軟件防護功能和手機丟失后的數(shù)據(jù)保護功能。具有諾頓特有的反惡意軟件、反病毒和手機安全技術。Norton Mobile Security Lite for Android可以確保您手機中的數(shù)據(jù)安全。

Trend Micro Mobile Security-Personal Edition: 這是您數(shù)字生活中最好的安全防護產品?？梢员Ｗo您的Android設備免遭惡意軟件和網(wǎng)絡攻擊的威脅，同時具有丟失后數(shù)據(jù)保護的功能。

我們所選的以上安全產品都有免費版和收費版之分，而我們測試采用的都是免費版（AVG, Lookout, 和Norton）以及試用版（McAfee和Trend Micro）。

我們介紹了作者測試安卓系統(tǒng)上安全軟件有效性的實施計劃，本文將為你展示具體的實施過程和評測結果。#p#

William的測試

William設計了一系列測試，包括上面提到的惡意軟件DogoWar測試。每個測試都在兩部測試用機上分別進行，每次測試，手機中都只安裝一種安全軟件，因為多種安全軟件同時安裝在一部手機中，會影響測試結果。

下面我會列出每個測試的說明和相應的測試結果。

DogoWar：手機重啟后，會有一個名為com.dogbite.Doghouse的惡意服務啟動，并建立名為com.dogbite.Rabies的服務。這個服務會查找所有帶有手機號碼的聯(lián)系人，并向這些號碼發(fā)送SMS短信。然后這個惡意服務會向73822這個號碼發(fā)送硬件編碼的SMS，繼續(xù)利用人類善待動物組織的免費SMS短信服務招攬潛在的受害者。

 

無害程序（重打包名為DogoWar）：這個測試使用了一個在屏幕上顯示“Hello world!”的無害程序。與上面提到的DogoWar唯一的相同點就是程序的名字。如果殺軟將這個程序列為惡意程序，將被看做是一種誤判。

 

應用程序（被Rabies感染）：這個測試是模擬一個帶有已知病毒的合法的未知程序，即將上面使用的無害程序“hello world”被com.dogbite.rabies惡意服務感染后再安裝到手機中，查看各個殺軟的效果。

 

如果殺軟有所動作，說明它能夠從合法的軟件代碼中找出惡意代碼。目前電腦中的殺軟主要采用啟發(fā)式掃描的方法來實現(xiàn)這個功能。目前智能手機上的安全軟件可能也會有這個功能，但是手機系統(tǒng)的硬件資源不一定能負擔的起這種功能的資源需求。

Adrienne的評論

我將上面的這些測試結果發(fā)給了我們的安卓技術指導，博士生Adrienne，她看過之后發(fā)來了下面這段評論：

“看上去這些殺軟并不會對重新打包的DogoWar進行掃描，因為目前已知的DogoWar只有一種傳播程序。可能殺軟對于具有大量變種的惡意代碼會有更精確的掃描方式。”

這對于William來說是個不錯的提示，于是他又打算使用一個名為DroidDeluxe的惡意代碼進行進一步的測試。

DroidDeluxe：這是一個基于安卓系統(tǒng)的root exploit程序。它可以在用戶不知情的情況下獲取手機管理權限。

 

　無害程序（重新打包名為DroidDeluxe）同樣還是一個只能顯示“Hello world!”的程序，我們將其重新打包命名為DroidDeluxe 。如果安全軟件將其標記出來，說明是誤判。

 

DroidDeluxe（重新打包）：我們利用反匯編器對這個惡意軟件進行重新打包，將其內部名稱修改，但是其余代碼不做任何變動。如果安全軟件在掃描內部名稱的同時也會掃描程序代碼，就會發(fā)現(xiàn)DroidDeluxe病毒，否則就不會發(fā)現(xiàn)。

 

William的點評

由于通過測試， William對于這幾款安全軟件有了相當?shù)恼J識，我求他對于每個安全軟件進行一些點評：

AVG:

該軟件的掃描速度要慢于其它軟件

加載文件系統(tǒng)后，AVG不會自動掃描SD卡中的文件

只掃描代碼的內部打包名稱，導致誤判

只在軟件安裝過程中對軟件進行掃描

無法有效檢測重打包的惡意軟件

AVG 只檢測惡意軟件的打包名稱

Lookout:

如果惡意代碼不被安裝，就無法將其檢測出來。

用戶界面超簡潔。#p#

有誤判情況

可以檢測出重新打包的惡意軟件，說明它不止掃描代碼的打包名稱。

McAfee:

入侵式安裝。試用版要求7天內注冊。為手機增加SMS短信驗證功能。

沒有誤報，能夠截獲抑制病毒，包括重新打包的惡意代碼。

Norton:

非入侵式安裝，但是安裝過程有些繁瑣

四個真正的病毒威脅只掃描到了一個

沒有誤報

Trend Micro:

軟件最近重新修改過

新版本具有較好的用戶體驗

Adrienne的評論

做完測試后，William和我都在忐忑的等待Adrienne的評論：

“安卓系統(tǒng)上的惡意軟件相比臺式機要稀少的多，但是最近也逐漸出現(xiàn)了。手機用戶如果從非官方渠道下載應用軟件，應該小心可能產生的安全問題，最好要安裝一個安全軟件。

你們的測試結果表明安卓系統(tǒng)上的惡意軟件掃描是一個比較新的領域，并不是所有知名品牌的安全產品在手機平臺都能取得良好的效果。

從技術角度講，目前手機安全軟件面臨的一個問題是如何識別合法程序中重新打包的惡意代碼。我們目前看到市面上傳播的很多惡意代碼都是通過這種方式進行傳播的，因此這方面的掃描技術要加強。

不過這個問題也確實不好處理，因為安全軟件也需要避免過多的誤判，如果采用啟發(fā)式查毒，將正常的程序誤判為病毒，用戶也會覺得產品不夠聰明和可靠。在這方面我也和同事們一起正在研究，希望未來幾個月后會有有效的解決方案。”

總結

首先我要感謝那些安卓系統(tǒng)安全軟件的開發(fā)人員。通過這次測試，我認識到了他們對于安卓平臺所作的努力和取得的成果。

而之所以要做這個評測，也是William和我出于對所有使用手機安全產品的用戶負責的原因，希望大家不要誤以為手機安全軟件只是擺設。

 

【編輯推薦】

1. 美國拒絕解釋禁止華為競標緣由：涉及國家安全
2. IPv6無法解決全部安全問題
3. 美政府以國家安全為由禁止華為參與競標遭質詢
4. 集成反間諜軟件 Array桌面快車新增安全保護層
5. H3C云網(wǎng)絡和云安全系統(tǒng)成功實踐于成都云計算中心