Тествахме 21 антивирусни приложения за Android и открихме тези сериозни уязвимости

Тествахме 21 антивирусни приложения за Android и открихме тези сериозни уязвимости

Comparitech прекара седмици в тестване на популярни безплатни антивирусни приложения за Android. Потърсихме недостатъци в начина, по който всеки доставчик се справя с поверителността, сигурността и рекламата. Резултатите бяха отварящи очите.

В много случаи не получавате обещаното в Play Store. Много приложения не могат точно да открият вирус. Почти всички те следят. И открихме шепа сериозни пропуски в сигурността, включително критична уязвимост, която изложи адресните книги на потребителя, и друга, която позволи на атакуващите да изключат антивирусната защита изцяло.

Резултати от антивирусни тестове за Android

Старшият изследовател по сигурността на Comparitech, Khaled Sakr, отговаря за активното тестване. Той разгледа самото приложение, неговата ефективност, таблото за управление на мрежата и всички включени бекенд услуги. Анализирахме и опасни разрешения и проследяващи вградени във всяко мобилно антивирусно приложение.

Нашите тестове

В средата на юни 2019 г. разгледахме следните 21 доставчици на антивирусни програми на Android:

Идентификационен номер на магазина VendorPlay
AEGISLAB Antivirus Free com.aegislab.sd3prj.antivirus.free
Malwarebytes Security: Virus Cleaner, Anti-Malware org.malwarebytes.antimalware
AVL Pro Antivirus & Сигурност com.antiy.avlpro
APUS Security - чист вирус, антивирус, бустер com.guardian.security.pri
Антивирусна система Brainiacs com.antivirussystemforandroid.brainiacs.googleplay
Мобилна сигурност и антивирус на BullGuard com.bullguard.mobile.mobilesecurity
Телефон за почистване phone.cleaner.speed.booster.cache.clean.android.master
Comodo Free Antivirus, VPN и Mobile Security com.comodo.cisme.antivirus
Emsisoft Mobile Security com.emsisoft.security
ESET Mobile Security & Antivirus com.eset.ems2.gp
Dr.Capsule - антивирусен, почистващ, бустер com.estsoft.alyac
Фотоантивируем антивирус & чистач com.fotoable.cleaner
NQ Mobile Security & Без антивирус com.nqmobile.antivirus20
Zemana Antivirus & Сигурност com.zemana.msecurity
MalwareFox Anti-Malware com.malwarefox.antimalware
Антивирусен мобилен - почистващ, скенер за телефонни вируси com.taptechnology.antivirus.mobile
dfndr сигурност: антивирусна, анти-хакерска & чистач com.psafe.msuite
Антивирусна лаборатория за поверителност & Мобилна сигурност com.secore.privacyshield
Webroot Business Security com.webroot.security.sme
VIPRE Mobile Security com.ssd.vipre
V3 Mobile Security com.ahnlab.v3mobilesecurity.soda

Открихме сериозни пропуски в сигурността в три от тестваните от нас приложения и открихме осем приложения, които не можаха да открият тестов вирус. Общо 47% от тестваните доставчици се провалиха по някакъв начин.

Забележка: поверителност Лабораторен антивирус & Оттогава мобилната сигурност е премахната от Play Store

Сигурност

Открихме неправилно конфигурирани уеб услуги, засягащи три отделни антивирусни доставчика:

VendorVulnerabilityRisk Score
VIPRE IDOR - Премиум потребителите с активирана синхронизация на адресната книга са изложени на риск да им откраднат контактите критичен
VIPRE ИДОР - Всички потребители бяха уязвими от нападател, изпращащ фалшиви антивирусни сигнали сериозно
BullGuard IDOR - Всички потребители бяха уязвими за атакуващ, дистанционно деактивирайки антивирусната им защита сериозно
BullGuard XSS - Потребителите на уебсайта BullGuard са изложени на риск атакуващите да въведат злонамерен код поради уязвим скрипт сериозно
AEGISLAB XSS - Потребителите на уеб таблото на AEGISLAB бяха изложени на риск от нападатели да вмъкнат злонамерен код поради уязвим скрипт сериозно

VIPRE Mobile, AEGISLAB и BullGuard имаха недостатъци, които биха могли да застрашат поверителността и сигурността на потребителите.. В този случай и тримата доставчици работиха с нас през юни и юли, за да отстранят недостатъците в приложението си, преди да публикуваме този отчет. Можем да потвърдим, че всички уязвимости са коригирани.

производителност

Открихме следните мобилни антивирусни приложения, които не могат да открият опасен тестов вирус:

  • AEGISLAB Antivirus Free
  • Антивирус Antiy AVL Pro & Сигурност
  • Антивирусна система Brainiacs
  • Фотокачествен супер чистач
  • MalwareFox Anti-Malware
  • NQ Mobile Security & Без антивирус
  • Докоснете Технология Антивирусен мобилен
  • Zemana Antivirus & Сигурност

Използваният полезен товар Metasploit използвахме опити да отворим обратна обвивка на устройството без обфускация. Той е създаден за точно този вид тестване. Всяко антивирусно приложение за Android трябва да може да открие и спре опита.

поверителност

Използвахме информация от мобилната база данни за поверителност на Exodus, за да търсим опасни разрешения и рекламни тракери. Ето какво открихме:

Мобилната реклама е огромен бизнес и продавачите могат да печелят много пари от показване на насочени реклами. Но за да се насочат към тях, рекламодателите се нуждаят от информация за личните навици и предпочитания на потребителите. Така тракерите изпращат информация за историята на сърфиране и историята на търсенията обратно на рекламодателите, които я използват за насочване и показване на мобилни реклами.

Тествахме 21 антивирусни приложения за Android и открихме тези сериозни уязвимости

В нашия анализ, защитата на dfndr използва повече рекламни тракери, отколкото всяко друго безплатно антивирусно решение. Чистият брой рекламни тракери, за които се отнася посоченото приложение, е впечатляващ. Доколкото можем да кажем, dfndr използва почти всяка рекламна борса там, за да показва насочени реклами.

dfndr също така изисква разрешение за достъп до фини данни за местоположението, достъп до камерата, четене и записване на контакти, погледнете в адресната книга и вземете IMEI (уникален идентификатор) и телефонен номер на устройството.

Провали на VIPRE Mobile

Открихме две уязвимости, една критична и една сериозна, която разкрихме пред VIPRE. Те работиха с нас за внедряването на поправка и можем да потвърдим, че уязвимостите са били коригирани.

Адресните книги на потребителите на VIPRE изтекли

Използвайки онлайн таблото за управление, открихме, че е възможно нападателите да имат достъп до адресните книги на потребители на VIPRE Mobile с активирана синхронизация в облака. Въз основа на нашата доказателство за концепцията и популярността на приложението, изчисляваме, че над милион контакти седяха в мрежата необезпечени..

Тествахме 21 антивирусни приложения за Android и открихме тези сериозни уязвимости

Недостатъкът беше причинен от нарушен или лошо реализиран контрол на достъпа, който се проявява като несигурна уязвимост на директния обект (IDOR) в бекенда на VIPRE Mobile. Отговорният скрипт проверява само, за да се увери, че нападателят е влязъл. Не е извършвана допълнителна проверка, за да се гарантира, че заявката се изпълнява от правилното устройство или акаунт.

изтегляне на мобилни данни за антивирусно приложение за AndroidНевниманието на VIPRE към сигурността излага личната информация на милиони хора в риск, почти всички приятели и колеги на потребители на VIPRE Mobile

Използвайки тази уязвимост, е възможно противникът да премине през всеки потребителски акаунт и да изтегли контактите им във VCARD формат. Много от изтеглените контакти съдържат пълни имена, снимки, адреси и бележки с чувствителна лична информация.

Сигналите за вируси в VIPRE бяха лесно фалшифицирани

Сигналите за вируси в VIPRE mobile също бяха лесно фалшифицирани. Открихме подобна уязвимост на IDOR, която влияе върху начина, по който се отчитат и показват сигналите за вируси. Използвайки тази уязвимост, нека изпращаме изцяло фалшиви сигнали за вируси на всеки потребител с валиден акаунт.

предупреждение за антивирусно приложениеГенерирането на измамни сигнали и изпращането им на нищо неподозиращи потребители беше тривиално. Открихме, че можем да редактираме полета в заявката за предупреждение, за да накараме да каже каквото си поискаме

Ние успяхме да избутаме фалшиви сигнали, като заснемем заявката, генерирана при откриване на вирус, след което манипулираме заявката за промяна на потребителския идентификатор и други параметри. Резултатът е напълно реално изглеждащ сигнал за вируси, показван на таблото за управление на VIPRE Mobile на жертвата.

Липсваше контрол на достъпа на VIPRE

VIPRE Mobile обещава сигурно архивиране на вашите лични данни, но това, което те действително продадоха клиенти, не се доближи. Липсата на ефективен контрол на достъпа беше изумителна. Бяхме в състояние да получим достъп до дълбоко лична информация по желание и да публикуваме фалшиви сигнали за злонамерен софтуер на всеки валиден акаунт.

„Тези две уязвимости на VIPRE са най-критичните, които открих,“ отчита Халед, „Те засягат както поверителността, така и целостта на приложението. VIPRE трябва да започне да извършва редовни тестове за проникване във всички свои приложения. "

AEGISLAB не заключи таблото си за управление

Открихме и съобщихме за сериозна уязвимост, засягаща уеб услугите на AEGISLAB. Те работиха с нас, за да отстранят проблема и тестовете ни показват, че е залепен.

Таблото за управление на AEGISLAB беше уязвимо

Открихме няколко недостатъци на скриптови скриптове (XSS), засягащи един скрипт, работещ в домейна my2.aegislab.com. Тъй като нито един от параметрите, предадени на скрипта, не е дезинфекциран, би било тривиално атакуващият да изпълни злонамерен код.

Тествахме 21 антивирусни приложения за Android и открихме тези сериозни уязвимости

Уязвимостите XSS отварят разнообразен набор от врати за нападателите. Те осигуряват входна точка за по-нататъшни атаки и дават легитимност на фишинг експедиции.

Уязвимости на BullGuard

Съобщихме за две уязвимости на сигурността пред BullGuard, и двете сериозни. Те работиха с нас за справяне с недостатъците и ние потвърдихме поправката им.

BullGuard беше много лесно да се деактивира дистанционно

BullGuard Mobile Security беше засегната от уязвимостта на IDOR, която позволи на отдалечен атакуващ да деактивира антивирусната защита. Открихме, че би било тривиално за нападател да повтори чрез идентификационни номера на клиенти и да деактивира BullGuard на всяко устройство.

Android антивирусна програма деактивира BullGuardУспяхме да прихванем и променим заявката за деактивиране на антивируса на BullGuard Mobile. Уязвимостта засяга всички потребители и лесно би могла да се използва за деактивиране на защитата от вируси за всеки клиент

Нашето тестване установи, че заявката е генерирана, когато потребителят изключи антивирусната защита може да бъде заснета и променена. С промяна на идентификационния номер на потребителя в тази заявка, антивирусната защита на всяко устройство може да бъде деактивирана. Изглежда, че контролът на достъпа не е наличен, за да се гарантира, че правилният потребител е направил заявката.

BullGuard приветства нови потребители

Открихме един от сценариите, отговорен за обработката на нови потребители на уебсайта BullGuard, също е уязвим за XSS. Въпросният скрипт не санира никакви параметри, предадени на него, което дава възможност на нападателя да стартира злонамерен код.

андроид антивирусен недостатък на булгарда

В този случай беше тривиално да се покаже сигнал на страницата. В други случаи противниците могат да използват тази уязвимост за отвличане на сесии, събиране на лични данни или извършване на редица други атаки. Например уебсайтовете с високо доверие като BullGuard правят идеална платформа за фишинг кампании.

Смущаващата тайна на BullGuard

Уязвимостта на IDOR е толкова смущаваща, колкото и за антивирусен доставчик. Потребителите разчитат на антивирусен софтуер като защита на своите устройства, така че когато той може да бъде деактивиран безшумно и дистанционно, това е пагубен удар. BullGuard поправи и двете уязвимости, сега те трябва да работят за поправяне на репутацията си с потребителите.

Khaled предложи впечатленията си от недостатъка на BullGuard XSS: „Уязвимостите за скриптове на различни сайтове са често срещани в уеб приложенията, но фактът, че тази уязвимост съществува на техния основен уебсайт, означава, че те вероятно дори не са извършили автоматизирано сканиране на сайта им преди стартирането.“

Какво не е наред с мобилния антивирус?

Много неща не са наред с мобилния антивирусен софтуер, но има един голям проблем, засягащ пазарния сегмент: Просто няма достатъчно мобилни вируси и зловреден софтуер.

През 2018 г. Kaspersky Labs съобщи, че е блокирала 116,5 милиона вирусни и злонамерени програми на Android и iOS устройства. Това звучи като огромно количество, но според техния брой, само 10% от потребителите в САЩ, 5% в Канада и 6% във Великобритания трябваше да бъдат защитени от мобилна заплаха миналата година.

Така че продавачите се фокусират върху добавянето на функции, за да се разграничат, понякога вместо да подобряват своята кодова база. И те очевидно не винаги вършат чудесна работа. Всяка уязвимост, която открихме, беше със система, инцидентна с реалното сканиране на вируси.

Антивирусно приложение VIPRE POCНашата VIPRE доказателство за концепцията беше кратка и точна.

Тъй като мобилният зловреден софтуер не е рядкост (засега) е много лесно продавачите да пускат по-нисък продукт, без потребителите да забелязват. В тази среда лошите приложения с нови функции стават популярни и няма нищо, което алгоритъмът на Play Store харесва повече от препоръчването на популярни приложения. Така цикълът продължава.

Има ли решение?

„За съжаление в много организации бизнесът печели страната на сигурността,“ каза Халед, „Както в случая с VIPRE Mobile. Бих казал, че всеки компетентен тестер за проникване би могъл да идентифицира тези уязвимости. "

„Повече бизнеси трябва да обърнат внимание и да се уверят, че сигурността се решава в началото на проекта и наред с разработването на приложения, вместо в края, когато е твърде късно.“

Да се ​​надяваме, че ще слушат, защото все още има твърде много лоши, счупени и несигурни антивирусни приложения за Android.

Може също да ви харесаAntivirus Най-добрите безплатни програми за премахване, откриване и скенерAntivirus10 безплатни инструменти за премахване на вируси и зловреден софтуерAntivirus8 Общи видове злонамерен софтуер, обяснени на обикновен английскиAntivirusКак да сканирате уебсайт за злонамерен софтуер и да коригирате хакерски сайтове

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

45 + = 47

Adblock
detector