Comparitech ใช้เวลาหลายสัปดาห์ในการทดสอบแอพป้องกันไวรัสยอดนิยมฟรี เราค้นหาข้อบกพร่องในวิธีที่ผู้ขายแต่ละรายจัดการความเป็นส่วนตัวความปลอดภัยและการโฆษณา ผลลัพธ์ที่ได้คือการเปิดตา.
ในหลายกรณีคุณไม่ได้รับสิ่งที่สัญญาไว้ใน Play Store แอปจำนวนมากไม่สามารถตรวจจับไวรัสได้อย่างแม่นยำ เกือบทั้งหมดกำลังติดตามคุณ และเราพบข้อบกพร่องด้านความปลอดภัยจำนวนหนึ่งซึ่งรวมถึงช่องโหว่ที่สำคัญซึ่งเปิดเผยสมุดที่อยู่ของผู้ใช้และอีกช่องทางหนึ่งที่ทำให้ผู้โจมตีสามารถปิดการป้องกันไวรัสได้ทั้งหมด.
ผลการทดสอบแอนติไวรัส
Khaled Sakr นักวิจัยด้านความปลอดภัยอาวุโสของ Comparitech รับผิดชอบการทดสอบที่ใช้งานอยู่ เขามองไปที่แอปพลิเคชันตัวเองประสิทธิภาพของมันแดชบอร์ดการจัดการเว็บและบริการแบ็กเอนด์ทั้งหมดที่เกี่ยวข้อง นอกจากนี้เรายังวิเคราะห์การอนุญาตที่เป็นอันตรายและตัวติดตามที่ฝังอยู่ในแอพป้องกันไวรัสแต่ละตัว.
การทดสอบของเรา
ในช่วงกลางเดือนมิถุนายน [year] เราดูผู้จำหน่ายซอฟต์แวร์ป้องกันไวรัส Android 21 รายดังต่อไปนี้:
| AEGISLAB โปรแกรมป้องกันไวรัสฟรี | com.aegislab.sd3prj.antivirus.free |
| การรักษาความปลอดภัย Malwarebytes: กำจัดไวรัส, ป้องกันมัลแวร์ | org.malwarebytes.antimalware |
| AVL Pro Antivirus & ความปลอดภัย | com.antiy.avlpro |
| การรักษาความปลอดภัยของ APUS – กำจัดไวรัสตัวป้องกันไวรัสบูสเตอร์ | com.guardian.security.pri |
| ระบบป้องกันไวรัส Brainiacs | com.antivirussystemforandroid.brainiacs.googleplay |
| BullGuard Mobile Security และ Antivirus | com.bullguard.mobile.mobilesecurity |
| ทำความสะอาดโทรศัพท์ | phone.cleaner.speed.booster.cache.clean.android.master |
| Comodo ป้องกันไวรัสฟรี, VPN และการรักษาความปลอดภัยมือถือ | com.comodo.cisme.antivirus |
| Emsisoft Mobile Security | com.emsisoft.security |
| ESET Mobile Security & ป้องกันไวรัส | com.eset.ems2.gp |
| Dr.Capsule – Antivirus, Cleaner, Booster | com.estsoft.alyac |
| Antivirus Fotoable & ทำความสะอาด | com.fotoable.cleaner |
| NQ Mobile Security & แอนติไวรัสฟรี | com.nqmobile.antivirus20 |
| Zemana Antivirus & ความปลอดภัย | com.zemana.msecurity |
| MalwareFox ป้องกันมัลแวร์ | com.malwarefox.antimalware |
| Antivirus Mobile – Cleaner, Phone Virus Scanner | com.taptechnology.antivirus.mobile |
| ความปลอดภัย dfndr: โปรแกรมป้องกันไวรัสป้องกันการแฮ็ค & ทำความสะอาด | com.psafe.msuite |
| Antivirus แล็บส่วนตัว & ความปลอดภัยมือถือ | com.secore.privacyshield |
| Webroot ความปลอดภัยทางธุรกิจ | com.webroot.security.sme |
| ความปลอดภัยมือถือ VIPRE | com.ssd.vipre |
| V3 Mobile Security | com.ahnlab.v3mobilesecurity.soda |
เราพบข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงในสามแอปที่เราทดสอบและพบแปดแอปที่ไม่สามารถตรวจพบไวรัสทดสอบ โดยรวมแล้ว 47% ของผู้ขายที่เราทดสอบล้มเหลวอย่างใด.
บันทึก: ความเป็นส่วนตัว แอนติไวรัส & การรักษาความปลอดภัยมือถือได้ถูกลบออกจาก Play Store
ความปลอดภัย
เราพบบริการเว็บที่กำหนดค่าผิดพลาดที่มีผลต่อผู้จำหน่ายโปรแกรมป้องกันไวรัสสามราย:
| VIPRE | IDOR – ผู้ใช้พรีเมี่ยมที่เปิดใช้งานการซิงค์สมุดที่อยู่มีความเสี่ยงที่จะถูกขโมยที่อยู่ติดต่อ | วิกฤติ |
| VIPRE | IDOR – ผู้ใช้ทั้งหมดมีความเสี่ยงต่อผู้โจมตีที่ส่งการแจ้งเตือนโปรแกรมป้องกันไวรัสปลอม | จริงจัง |
| BullGuard | IDOR – ผู้ใช้ทั้งหมดมีความเสี่ยงต่อการโจมตีจากระยะไกลปิดการใช้งานการป้องกันไวรัสของพวกเขา | จริงจัง |
| BullGuard | XSS – ผู้ใช้เว็บไซต์ BullGuard มีความเสี่ยงที่ผู้โจมตีจะใส่รหัสที่เป็นอันตรายเนื่องจากสคริปต์ที่มีช่องโหว่ | จริงจัง |
| AEGISLAB | XSS – ผู้ใช้แผงควบคุมเว็บของ AEGISLAB มีความเสี่ยงที่ผู้โจมตีจะใส่รหัสที่เป็นอันตรายเนื่องจากสคริปต์ที่มีช่องโหว่ | จริงจัง |
VIPRE Mobile, AEGISLAB และ BullGuard ล้วน แต่มีข้อบกพร่องที่อาจทำให้ความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ตกอยู่ในความเสี่ยง. ในกรณีนี้ผู้ขายทั้งสามรายทำงานกับเราในเดือนมิถุนายนและกรกฎาคมเพื่อแก้ไขข้อบกพร่องในแอพของพวกเขาก่อนที่เราจะเผยแพร่รายงานนี้ เราสามารถยืนยันได้ว่าช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว.
ประสิทธิภาพ
เราพบแอปป้องกันไวรัสบนมือถือต่อไปนี้ไม่สามารถตรวจพบไวรัสทดสอบอันตราย:
- AEGISLAB โปรแกรมป้องกันไวรัสฟรี
- Antiy AVL Pro Antivirus & ความปลอดภัย
- ระบบป้องกันไวรัส Brainiacs
- Fotoable Super Cleaner
- MalwareFox ป้องกันมัลแวร์
- NQ Mobile Security & แอนติไวรัสฟรี
- แตะเทคโนโลยี Antivirus มือถือ
- Zemana Antivirus & ความปลอดภัย
น้ำหนักบรรทุก Metasploit ที่เราใช้พยายามเปิดเปลือกย้อนกลับบนอุปกรณ์โดยไม่ทำให้งงงวย มันถูกสร้างขึ้นสำหรับการทดสอบประเภทนี้อย่างแน่นอน แอปป้องกันไวรัส Android ทุกตัวควรสามารถตรวจจับและหยุดความพยายามได้.
ความเป็นส่วนตัว
เราใช้ข้อมูลจากฐานข้อมูลความเป็นส่วนตัวของมือถือของ Exodus เพื่อค้นหาการอนุญาตที่เป็นอันตรายและเครื่องมือติดตามการโฆษณา นี่คือสิ่งที่เราพบ:
โฆษณาบนมือถือเป็นธุรกิจขนาดใหญ่และผู้ขายสามารถสร้างรายได้จากเงินจำนวนมากที่แสดงโฆษณาที่ตรงเป้าหมาย แต่เพื่อกำหนดเป้าหมายผู้โฆษณาต้องการข้อมูลเกี่ยวกับพฤติกรรมและความชอบส่วนตัวของผู้ใช้ ดังนั้นเครื่องมือติดตามจะส่งข้อมูลเกี่ยวกับการค้นหาและประวัติการค้นหากลับไปยังผู้โฆษณาที่ใช้เพื่อกำหนดเป้าหมายและแสดงโฆษณาบนมือถือ.
ในการวิเคราะห์ของเราความปลอดภัย dfndr ใช้เครื่องมือติดตามโฆษณามากกว่าโซลูชันป้องกันไวรัสฟรีอื่น ๆ จำนวนตัวติดตามการโฆษณาที่แอพอ้างถึงนั้นน่าประทับใจ เท่าที่เราสามารถบอกได้ dfndr ใช้การแลกเปลี่ยนโฆษณาทุกครั้งเพื่อแสดงโฆษณาที่ตรงเป้าหมาย.
dfndr ยังขออนุญาตในการเข้าถึงข้อมูลตำแหน่งที่ดีเข้าถึงกล้องอ่านและเขียนผู้ติดต่อมองผ่านสมุดที่อยู่และคว้า IMEI (ID เฉพาะ) และหมายเลขโทรศัพท์ของอุปกรณ์.
ความล้มเหลวของ VIPRE Mobile
เราพบช่องโหว่สองช่องโหว่หนึ่งช่องโหว่หนึ่งช่องโหว่และช่องโหว่ร้ายแรงหนึ่งช่องซึ่งเราเปิดเผยต่อ VIPRE พวกเขาทำงานร่วมกับเราเพื่อดำเนินการแก้ไขและเราสามารถยืนยันได้ว่ามีการแก้ไขช่องโหว่แล้ว.
สมุดที่อยู่ของผู้ใช้ VIPRE มือถือรั่วไหลออกมา
ด้วยการใช้แดชบอร์ดออนไลน์เราค้นพบว่าเป็นไปได้ที่ผู้โจมตีสามารถเข้าถึงสมุดที่อยู่ของผู้ใช้ VIPRE Mobile โดยเปิดใช้งานการซิงค์บนคลาวด์ จากการพิสูจน์แนวคิดและความนิยมของแอพเราประเมินว่ามีผู้ติดต่อกว่าล้านรายที่กำลังนั่งอยู่บนเว็บที่ไม่มีหลักประกัน.
ข้อบกพร่องเกิดจากการควบคุมการเข้าถึงที่ใช้งานไม่ได้หรือไม่ดีซึ่งแสดงให้เห็นว่าเป็นช่องโหว่การอ้างอิงวัตถุที่ไม่ปลอดภัยโดยตรง (IDOR) ในแบ็กเอนด์ของ VIPRE Mobile สคริปต์ที่ทำหน้าที่ตรวจสอบเท่านั้นเพื่อให้แน่ใจว่าผู้โจมตีเข้าสู่ระบบแล้วไม่มีการตรวจสอบเพิ่มเติมเพื่อให้แน่ใจว่ามีการดำเนินการตามคำขอโดยอุปกรณ์หรือบัญชีที่เหมาะสม.
การไม่ใส่ใจต่อความปลอดภัยของ VIPRE ทำให้ข้อมูลส่วนบุคคลของผู้คนหลายล้านตกอยู่ในความเสี่ยงซึ่งเกือบทั้งหมดเป็นเพื่อนและเพื่อนร่วมงานของผู้ใช้ VIPRE Mobile
โดยการใช้ประโยชน์จากช่องโหว่นั้นเป็นไปได้ที่ฝ่ายตรงข้ามจะวนรอบบัญชีผู้ใช้ทุกบัญชีและดาวน์โหลดผู้ติดต่อในรูปแบบ VCARD ผู้ติดต่อที่รั่วไหลออกไปหลายรายมีชื่อเต็มรูปแบบที่อยู่และบันทึกย่อพร้อมข้อมูลส่วนบุคคลที่ละเอียดอ่อน.
การแจ้งเตือนไวรัสใน VIPRE นั้นปลอมง่าย
การแจ้งเตือนไวรัสในมือถือ VIPRE นั้นปลอมได้ง่ายเช่นกัน เราพบช่องโหว่ IDOR ที่คล้ายกันซึ่งมีผลต่อการแจ้งเตือนและแสดงไวรัสแจ้งเตือน การใช้ประโยชน์จากช่องโหว่นี้ให้เราส่งการแจ้งเตือนไวรัสปลอมทั้งหมดไปยังผู้ใช้ใด ๆ ที่มีบัญชีที่ถูกต้อง.
การสร้างการแจ้งเตือนที่ฉ้อโกงและส่งไปยังผู้ใช้ที่ไม่สงสัยนั้นเป็นเรื่องเล็กน้อย เราพบว่าเราสามารถแก้ไขช่องในคำขอการแจ้งเตือนเพื่อให้พูดในสิ่งที่เราต้องการ
เราสามารถผลักดันการแจ้งเตือนปลอมโดยจับคำขอที่สร้างขึ้นเมื่อพบไวรัสจากนั้นจัดการกับคำขอเพื่อเปลี่ยน ID ผู้ใช้และพารามิเตอร์อื่น ๆ ผลที่ได้คือการแจ้งเตือนไวรัสที่ดูสมจริงทั้งหมดที่ปรากฏบนแผงควบคุม VIPRE Mobile ของเหยื่อ.
ขาดการควบคุมการเข้าถึงของ VIPRE
VIPRE Mobile สัญญาว่าจะสำรองข้อมูลส่วนบุคคลของคุณอย่างปลอดภัย แต่สิ่งที่ลูกค้าขายจริงไม่ได้เข้ามาใกล้ การขาดการควบคุมการเข้าถึงที่มีประสิทธิภาพนั้นทำให้ตกใจ เราสามารถเข้าถึงข้อมูลส่วนตัวได้อย่างตั้งใจและโพสต์การแจ้งเตือนมัลแวร์ปลอมไปยังบัญชีที่ถูกต้อง.
“ ช่องโหว่ VIPRE ทั้งสองนี้เป็นสิ่งที่สำคัญที่สุดที่ฉันพบ” รายงานเลด“ พวกเขามีผลกระทบต่อทั้งความเป็นส่วนตัวและความสมบูรณ์ของแอปพลิเคชัน VIPRE ควรเริ่มทำการทดสอบการเจาะแบบปกติในทุกแอปพลิเคชันของพวกเขา”
AEGISLAB ไม่ได้ล็อคแดชบอร์ดของพวกเขา
เราค้นพบและรายงานช่องโหว่ร้ายแรงที่มีผลต่อบริการบนเว็บของ AEGISLAB พวกเขาทำงานร่วมกับเราเพื่อแก้ไขปัญหาและการทดสอบของเราแสดงว่าได้รับการแก้ไขแล้ว.
แผงควบคุมของ AEGISLAB นั้นมีช่องโหว่
เราพบข้อบกพร่องหลายจุดในการเขียนสคริปต์ข้ามไซต์ (XSS) ที่ส่งผลต่อสคริปต์ตัวเดียวที่ทำงานบนโดเมน my2.aegislab.com เนื่องจากไม่มีพารามิเตอร์ที่ส่งผ่านไปยังสคริปต์ถูกทำให้สะอาดจึงเป็นเรื่องที่น่ารำคาญสำหรับผู้โจมตีที่จะเรียกใช้รหัสที่เป็นอันตราย.
ช่องโหว่ของ XSS เปิดประตูที่หลากหลายสำหรับผู้โจมตี พวกเขาเป็นจุดเริ่มต้นสำหรับการโจมตีเพิ่มเติมและให้ความชอบธรรมแก่การสำรวจฟิชชิ่ง.
ช่องโหว่ BullGuard
เราได้รายงานช่องโหว่ด้านความปลอดภัยสองรายการไปยัง BullGuard ทั้งสองช่องโหว่นี้ พวกเขาทำงานร่วมกับเราเพื่อแก้ไขข้อบกพร่องและเราได้ยืนยันการแก้ไขแล้ว.
BullGuard นั้นง่ายต่อการปิดการใช้งานจากระยะไกล
BullGuard Mobile Security ได้รับผลกระทบจากช่องโหว่ IDOR ซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถปิดใช้งานการป้องกันไวรัส เราพบว่ามันเป็นเรื่องไม่สำคัญสำหรับผู้โจมตีที่จะทำซ้ำผ่าน ID ลูกค้าและปิดใช้งาน BullGuard บนทุกอุปกรณ์.
เราสามารถดักจับและแก้ไขคำขอเพื่อปิดการใช้งานโปรแกรมป้องกันไวรัส BullGuard Mobile ช่องโหว่ดังกล่าวส่งผลกระทบต่อผู้ใช้ทุกคนและสามารถใช้เพื่อปิดการป้องกันไวรัสสำหรับลูกค้าทุกรายได้อย่างง่ายดาย
การทดสอบของเราพบคำขอที่สร้างขึ้นเมื่อผู้ใช้ปิดการป้องกันไวรัสสามารถจับและแก้ไข ด้วยการเปลี่ยน ID ผู้ใช้ในคำขอนี้การป้องกันไวรัสบนอุปกรณ์ใด ๆ สามารถปิดใช้งานได้ ดูเหมือนจะไม่มีการควบคุมการเข้าถึงเพื่อให้แน่ใจว่าผู้ใช้ที่ถูกต้องกำลังร้องขออยู่.
BullGuard ยินดีต้อนรับผู้ใช้ใหม่
เราค้นพบหนึ่งในสคริปต์ที่รับผิดชอบในการประมวลผลผู้ใช้ใหม่บนเว็บไซต์ BullGuard ก็มีความเสี่ยงต่อ XSS เช่นกัน สคริปต์ที่เป็นปัญหานั้นจะไม่ทำให้พารามิเตอร์ใด ๆ ที่ผ่านการฆ่าเชื้อซึ่งทำให้ผู้โจมตีสามารถเรียกใช้รหัสที่เป็นอันตรายได้.
ในกรณีนี้มันไม่สำคัญที่จะแสดงการแจ้งเตือนบนหน้า ในกรณีอื่นฝ่ายตรงข้ามอาจใช้ช่องโหว่นี้เพื่อดักจับเซสชันรวบรวมข้อมูลส่วนบุคคลหรือทำการโจมตีอื่น ๆ เป็นจำนวนมาก ตัวอย่างเช่นเว็บไซต์ที่มีความน่าเชื่อถือสูงเช่น BullGuard สร้างแพลตฟอร์มที่เหมาะสำหรับแคมเปญฟิชชิ่ง.
ความลับที่น่าอายของ BullGuard
ช่องโหว่ IDOR นั้นน่าอับอายเช่นเดียวกับที่ได้รับจากผู้จำหน่ายโปรแกรมป้องกันไวรัส ผู้ใช้พึ่งพาซอฟต์แวร์ป้องกันไวรัสเป็นแนวป้องกันสำหรับอุปกรณ์ของพวกเขาดังนั้นเมื่อสามารถปิดการใช้งานได้อย่างเงียบ ๆ และจากระยะไกลนั่นเป็นการระเบิดที่รุนแรง BullGuard ซ่อมแซมช่องโหว่ทั้งสองตอนนี้พวกเขาต้องทำงานเพื่อซ่อมแซมชื่อเสียงของพวกเขากับผู้ใช้.
Khaled แสดงความประทับใจต่อข้อบกพร่อง BullGuard XSS ของเขาว่า“ ช่องโหว่การเขียนสคริปต์ข้ามไซต์เป็นเรื่องปกติในเว็บแอปพลิเคชัน แต่ความจริงที่ว่าช่องโหว่นี้มีอยู่ในเว็บไซต์หลักของพวกเขานั่นหมายความว่าพวกเขาอาจไม่ทำการสแกนอัตโนมัติบนเว็บไซต์ของตน
เกิดอะไรขึ้นกับแอนติไวรัสมือถือ?
มีหลายสิ่งที่ไม่ถูกต้องในซอฟต์แวร์ป้องกันไวรัสมือถือ แต่มีปัญหาใหญ่อย่างหนึ่งที่ส่งผลกระทบต่อกลุ่มตลาด: มีไวรัสและมัลแวร์สำหรับมือถือไม่เพียงพอ.
ในปี [year] Kaspersky Labs รายงานว่ามีการบล็อกการติดเชื้อไวรัสและมัลแวร์ 116.5 ล้านในอุปกรณ์ Android และ iOS ฟังดูเป็นจำนวนมาก แต่จากตัวเลขของพวกเขามีเพียง 10% ของผู้ใช้ในสหรัฐอเมริกา 5% ในแคนาดาและ 6% ในสหราชอาณาจักรจำเป็นต้องได้รับการปกป้องจากภัยคุกคามทางมือถือเมื่อปีที่แล้ว.
ดังนั้นผู้ขายจึงมุ่งเน้นไปที่การเพิ่มคุณสมบัติเพื่อแยกความแตกต่างของตัวเองบางครั้งแทนที่จะปรับปรุง codebase และชัดเจนว่าไม่ได้ทำงานที่ยอดเยี่ยมเสมอไป ทุกช่องโหว่ที่เราพบคือระบบที่เกี่ยวข้องกับการสแกนไวรัสที่เกิดขึ้นจริง.
หลักฐาน VIPRE ของแนวคิดสั้นและตรงประเด็น.
เนื่องจากมัลแวร์มือถือเป็นเรื่องแปลก (ตอนนี้) มันเป็นเรื่องง่ายมากสำหรับผู้ขายที่จะวางผลิตภัณฑ์ที่ด้อยกว่าโดยที่ผู้ใช้ไม่สังเกตเห็น ในสภาพแวดล้อมดังกล่าวแอปที่ไม่ดีพร้อมคุณสมบัติใหม่จะได้รับความนิยมและไม่มีอะไรที่อัลกอริทึมของ Play Store ชอบมากกว่าการแนะนำแอปยอดนิยม ดังนั้นวัฏจักรจึงดำเนินต่อไป.
มีวิธีแก้ไขไหม?
“ น่าเสียดายที่หลายองค์กรฝ่ายธุรกิจชนะด้านความปลอดภัย” เลดบอกกับเราว่า“ ในกรณีของ VIPRE Mobile ฉันจะบอกว่าผู้ทดสอบการเจาะที่มีความสามารถนั้นสามารถระบุช่องโหว่เหล่านี้ได้”
“ ธุรกิจจำนวนมากจำเป็นต้องให้ความสนใจและตรวจสอบให้แน่ใจว่าความปลอดภัยได้รับการจัดการในช่วงเริ่มต้นของโครงการและควบคู่ไปกับการพัฒนาแอพพลิเคชั่นแทนที่จะสิ้นสุดเมื่อมันสายเกินไป”
หวังว่าพวกเขาจะฟังเพราะยังมีแอพป้องกันไวรัสที่ไม่ดีแตกหักและไม่ปลอดภัยเกินไป.
คุณอาจจะชอบโปรแกรมกำจัดไวรัสโปรแกรมกำจัดและตรวจจับและสแกนหารูทคิทที่ดีที่สุดโปรแกรมกำจัดไวรัสฟรี 10 และไวรัสกำจัดมัลแวร์ไวรัส 8 ชนิดของมัลแวร์ทั่วไปที่อธิบายในภาษาอังกฤษธรรมดาไวรัสวิธีสแกนเว็บไซต์สำหรับมัลแวร์
ไม่ดีเลยว่า Comparitech ได้ใช้เวลาหลายสัปดาห์ในการทดสอบแอพป้องกันไวรัสยอดนิยมฟรีแล้วพบข้อบกพร่องในวิธีการจัดการความเป็นส่วนตัวและความปลอดภัยของผู้ขายแต่ละราย ผลลัพธ์ที่ได้คือการเปิดเผยข้อมูลส่วนตัวของผู้ใช้และช่องโหว่ที่สำคัญซึ่งเปิดเผยสมุดที่อยู่ของผู้ใช้และอีกช่องทางหนึ่งที่ทำให้ผู้โจมตีสามารถปิดการป้องกันไวรัสได้ทั้งหมด ผู้ใช้ควรระมัดระวังและเลือกใช้แอพป้องกันไวรัสที่มีความปลอดภัยและความเป็นส่วนตัวที่ดีกว่านี้.