[TEST] Hur bra är android antivirus program?

Hmm söker mot en lista? Om jag väljer att söka igenom min telefon söker den ju igenom alla apk filer samt bilder filmer och zipfiler eller vad filer man nu har på sd kortet. startade en sökning nu för att testa och får då medelande om att antal genomsökta filer är: 1662 och då ser jag ju att den även söker i /data/app/... Något som också talar för att filerna genomsöks och inte kollas mot en lista är att ju större en app är desto längre tid tar det att söka igenom den.

Varje gång jag installerar en app från market får jag notification om att filen genomsöks och sedan när genomsökningen är färdig.

Om programmet nu skulle kolla mot en lista på nätet varför tar jag emot defenitioner och uppdateringar hela tiden? Det skulle ju inte behövas för att kollas mot listan?

 

Det är ju lite intressant eftersom appar vad jag vet inte ska ha rättigheter att titta på andra appars data eller ens den installerad apkn. Vad som går är däremot att lista vilka appar som är installerade via PackageManager.

Kolla igenom filer på external storage (minneskort) är dock inga problem.

Definitionerna är väl kanske listan över farliga appar?

 

Nej jag vet inte men den söker igenom filerna i data/app. en apk på 500kb hoppar den raskt förbi men en på 20 mb tar några sekunder innan den hoppar förbi.

Den får inte dessa rättigheter när den är enhets administratör eller så?
Kan lista de rättigheter den har om det är intressant på något vis alls.

 

I android så får ingen app vara Administratör, dessutom så körs varje process "sandboxed". Det betyder att varje process ett får separat utrymme för sig själv att leka med (En sandlåda helt enkelt). Därifrån kan bara kommunicera med andra processer genom väldefinerade vägar (sk. intents).

Då säger det sg självt att antivirus program inte blir särskilt effektiva i en sån här miljö. Det är därför Google säger att antivirusprogram till Android är "scareware".

http://www.ibm.com/developerworks/xml/library/x-androidsecurity/index.html

http://developer.android.com/guide/topics/intents/intents-filters.html

 

Okej, Jag menade enhets administratörer som kom som funktion i 2.2 tror jag: http://developer.android.com/guide/topics/admin/device-admin.html Där endast Anti-virus programmet och Cerberus finns med på min lur.

Men hur förklara man då det test som hänvisas till i trådstarten Och testet utgår som jag kan se det ifrån manuell sökning och sökning vid installation, där ett program hittar inget alls och 2 andra hittar det mesta. Ingen av dem borde väl hitta något om de inte kan söka igenom applicationerna?

Vad gör mitt program med applikationerna när jag gör en sökning där det tar längre tid ju större de är samt att den visar alla applicationer som den söker igenom i data/app.. och att programmet söker igenom filer som installeras från market också där med varierande tider beroende på storlek.

 

Hmm, verkar som om man kan hämta en annan apps resurser (layouter, grafik mm) med hjälp av PackageManager också. Men är man lite fiffig när man skriver sitt malware så lägger man allt elakt i koden så kommer man runt det.

Skulle gissa på att de lika gärna kunde fakea kontrollen och bara göra ingenting ett tag med lite slumpmässiga statusutskrifter och ändå vara lika effektiva som "antivirus program".

 

Enhetsadministrationen används nog för Remote-Wipe funktionalitet, men jag tycker inte att det egentligen något som tillhör antivirusprogram. Det man pratar om egentligen är "Säkerhetsprogram" trots att delen som har hand om "antivirus" kanske inte är så betydande.

 

Är du hundra procent säker på att detta stämmer??? Jag testade nämligen att installera Lookout Security & AntiVirus https://play.google.com/store/apps/details?id=com.lookout&feature=related_apps
Jag har en känsla av att det är ett av, om inte det bästa & mest tillförlitliga säkerhetsprogrammet man kan installera på android.

Med realtids skyddet på surfade jag till http://www.eicar.org/85-0-Download.html och försökte ladda ner diverse filer längre ner på sidan. Programmet agerade snabbt precis som mitt antivirus i datorn & varnade för virus & blockerade nerladdningen

Om det är nått vidare bevis eller ej vet jag inte... Men om det nu vore så att programmen bara jämför med en lista som finns online, hur kan då tex. eset påstå att deras antivirus för android använder sig av avancerad heuristisk scannings teknik liksom deras pc motsvarighet???

 

Jag har inte gjort någon djupare forskning på ämnet, utan det är slutsatser på hur Android fungerar och hanterar processer. Många vill gärna jämföra processhanteringen med hur den i Windows fungerar, men det är långt ifrån samma tänk.

Vad antivirusprogrammet har rätt till kan du ju kolla upp under permissions. Men det finns ingen permission som ger 100%-tig kontroll (root). Å andra sidan så kanske inte det behövs eftersom apparna inte heller får det.

Att läsa i "Hämtade filer" eller skanna SD-kort finns det permissions för, så därför kan de skanna filer som laddas ner. Men till skillnad från Windows är det bara "apk-filer" som skulle kunna agera "virus" i Android. Därför är en viktig säkerhetsåtgärd på android att inaktivera installation av tredjeparts appar.

Däremot kan de inte:
*Läsa andra programs programkataloger
*Ingen heuristisk - Kan inte se vad andra processer gör
*Kan inte se vad som händer i nätverket
*Läsa eller ändra systemfiler

Om du installerar en app som "rootar" telefonen så det enkelt match för denna app att inaktivera "antivirusprogrammet", därför måste antivirus program kunna mota "olle i grind".

 

En fråga till Droidgren, som verkar ha koll :

Om man har installation av tredjeparts appar aktiverat, finns det då en risk att en illasinnad .apk kan installera sig självt, och gå användaren obemärkt? Eller ligger risken endast i att det man själv installerar från tredje part kan vara skadligt?

 

Nej, du måste bekräfta alla installationer.
Det går bara om din telefon är rootad och du först installerar en app som i sin tur agerar "proxy" och installerar appar åt dig i smyg. Då kan vi tala om riktigt virus. Men jag är tveksam till att "antivirus" apparna i Android skulle klara skydda mot det. Det enda de kan göra är som sagt "mota olle i grind".

Men de flesta som kör rootat idag idag använder en whitelist-app som heter "superuser" så du måste bekräfta rootacess. Men även där kan du bli lurad ifall det är en whitelistad app som har varit snäll förut och sedan ändrar sitt beteende.
Men då är det endå rätt många steg som måste passeras. Ponera t ex att appmakaren till "Titanium Backup", en app med rootacess och ca 82,000 installs, skulle bli ledsen på världen. Då skulle han kunna skicka ut en uppdatering som:

* Raderar superuser appen i bakgrunden.
* Raderar eventuella "antivirusprogram".
* Installerar en app i bakgrunden som har alla permissions och rootacess.
* Denna app skulle få full kontroll över din telefon och kunna radera kontakter och telefonlista etc.

Om detta skulle inträffa, så är det inte något antivirusprogram som skulle rädda dig utan snarare Google som skulle snabbt som attan göra en remote wipe av programmet på alla Android-enheter innan det har hunnit uppdatera sig och sprida sig.

Detta scenario är nog inte så troligt då det är en del spärrar som måste passeras. I Android som handlar inte faran om virus utan snarare malware som läcker information. Säg att en vanlig app, tex "Wallpaper"-app som har permissions långt över öronen mot vad den behöver. Appen gör det ska i en eller två månader och samlar på sig installationer på telefoner runt om i världen. Sen så helt plötsligt så ett visst datum så börjar den läcka data. I just detta ögonblick kan inte Antivirusappar stoppa appen.
Det som måste ske är
1. Malware-appen märks som skadlig av AV-företaget
2. AV-företaget uppdatera sin listor
3. Av-appen uppdater sig och känner av appen och larmar.
Eller
1. Appen märks som skadlig av Google Play
2. Google play reagerar och drar tillbaka appen från market och med remote wipe.

*Om det är någon som kan detta bättre så rätta mig gärna om jag har fel*

http://android-developers.blogspot.se/2010/06/exercising-our-remote-application.html
http://googlemobile.blogspot.se/2011/03/update-on-android-market-security.html

 

Dr.Web Lite upptäcker vid nedladdning

Icarus Lite upptäcker ej vid nedladdning endast manuel scann

G Antivirus upptäcker ej vid nedladdning endast manuel scann

sammt av 4 test filer upptäcks endast 3


eicar.com
68 Bytes*
eicar.com.txt
68 Bytes
eicar_com.zip
184 Bytes
eicarcom2.zip
File

eicar.com
eicar.com.txt
eicar.com.zip
eicarcom2.zip

första filen upptäckes ej, resten upptäckes