Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 67, views: 24.636 •

Onderzoekers van twee Amerikaanse universiteiten hebben antivirussoftware voor Android onder de loep genomen en hebben ontdekt dat de beveiliging flink te wensen overlaat. Met name Lookout, een van de populairste virusscanners, is eenvoudig om de tuin te leiden.

Android-logoDe onderzoekers van de Northwestern University en de North Carolina State University namen in totaal tien virusscanners onder de loep, waaronder populaire pakketten als AVG, Lookout en Dr. Web. Dat schrijven ze in hun onderzoekspaper, dat in maart al is uitgegeven, maar nu pas in de openbaarheid is gekomen.

De onderzoekers ontwikkelden een tool die de virusscanners om de tuin probeerde te leiden: DroidChameleon. Alle antivirussoftware bleek kwetsbaar voor relatief simpele technieken om detectie te ontlopen, zoals het opnieuw verpakken van software, waardoor de signature verandert. Ook het hernoemen van bestanden, het hernoemen van het pakket of het versleutelen van informatie was vaak genoeg om de virusscanners om de tuin te leiden.

De software die verreweg het slechtst presteerde, was Lookout. Dat pakket, dat volgens Google door 10 tot 50 miljoen mensen is gedownload, was op elke geteste manier om de tuin te leiden. Ook het minder populaire Zoner was op veel punten kwetsbaar. AVG, de populairste scanner, presteerde beter, maar was nog steeds eenvoudig te omzeilen. Vreemd genoeg bleek AVG niet kwetsbaar voor geavanceerde omzeilmethoden, maar was het hernoemen van een pakket voldoende om de virusscanner compleet onschadelijk te maken.

Reacties (67)

Welk pakket is dan wèl in orde ? Of bestaat die (nog) niet ?
zal ook niet zo snel bestaan je kan het alleen moeilijker maken voor virussen
ik denk dat als mensen dit soort onderzoeken vaak genoeg doen er vanzelf steeds beter beveiligd zal worden
Als je goed kijkt naar de antivirus pakketten zie je ook niets staan waardoor je het gevoel krijgt dat ze iets doen. De beveiliging is misschien makkelijk om te zeilen maar de mensen die lookup installeren, hebben meer verstand van Android. Deze mensen zullen minder snel virussen installeren.

De enige manier om virussen te installeren is door dit te doen via andere markets, terwijl dat bijna niet meer nodig is.
Zulke anti virus pakketten zijn vooral bedoeld om verdachte apps op te sporen. Apps zoals Wallpapers die even je hele SD kaart uploaden naar een server in verweggistan of apps die even je hele contactenlijst leeg halen terwijl ze dat niet moeten doen. Ook apps die andere applicaties installeren zonder dat de gebruiker het door heeft kunnen makkelijk gepakt worden.
Het is dan wel slordig dat ze met een name change al om de tuin te leiden zijn, dat zou betekenen dat ze echt op library basis werken en niet op basis van gedragsherkenning.
Het probleem is in mijn ogen vooral dat dit helemaal geen echte virusscanners zijn, of in ieder geval niet met de traditionele scanners vergeleken mag worden.

Virusscanners voor mobiele apparaten bestaan al jaren maar zijn weinig effectief. Vaak ging (of zelfs nog gaat) het om apps die "virusscanner" of "mobile security" heten, maar met daadwerkelijk actief op virussen scannen weinig te maken hebben.

In de loop der jaren zijn er allerlei functionaliteiten aan toegevoegd, zoals bijvoorbeeld het op afstand kunnen opsporen dan wel wissen van een verloren toestel of het blokkeren van oproepen, het tonen van een soort proces manager en wat exotische functies. De fabrikant verkoopt dit dan onder het mom van "mobile security solution" maar welk niveau van beveiliging het echt brengt, is de vraag.

Met name op het gebied van antivirus en antimalware blijven de scanners in mijn ogen ver achter. Zoals hierboven het voorbeeld al aangehaald werd van apps die allerlei data doorsturen: dit is in mijn ogen zeer ongewenst en zou door zo'n scanner gedetecteerd of zelfs geblokkeerd moeten worden. Het betreft echter een zeer grijs gebied: waarom zou een foto app immers NIET je hele SD kaart leeg mogen plukken? Als ik dat als gebruiker expliciet toe kan staan in een GUI, kan dat een mooie back-upfeature zijn.

Op basis van heuristiek zouden tal van dat soort verdachte activiteiten gedetecteerd kunnen worden maar het is dan de vraag of de gebruiker niet overladen wordt met meldingen.

Desktopvirusscanning, waarbij alle bestanden gescand worden bij het aanroepen ervan, zou op een mobile device weer niet wenselijk zijn i.v.m. de resources (en dus batterijduur) die dat vraagt. Overigens kun je je ook afvragen of deze methodiek überhaupt wel noodzakelijk is omdat desktopmalware in de regel toch anders werkt dan mobile malware. Het gaat daarbij ook sterk om het voorkomen van het installeren van een app op een apparaat.

Mobile antivirus is in mijn ogen nog grotendeels een farce. Naarmate mobiele devices steeds populairder zijn geworden, zijn de securitybedrijven hierop ingesprongen. Kwestie van vraag- en aanbod. En als je maar hard genoeg roept "bescherm uw persoonlijke data, koop ons product!" zijn er vanzelf wel mensen die dat doen.

Wat dat betreft hebben gesloten klimaten zoals een niet-gejailbraikte iPhone of een (vooralsnog) onbreekbare Windows Phone absoluut hun voordelen. Niet dat hier nu nooit malafide apps voor ontwikkeld zullen worden, maar een gerootte Android-phone is tienmaal zo kwetsbaar.

[Reactie gewijzigd door Eagle Creek op 3 mei 2013 19:17]

De enige manier om virussen te installeren is door dit te doen via andere markets, terwijl dat bijna niet meer nodig is
http://arstechnica.com/se...ed-up-to-9-million-times/

In Google Play heeft in het verleden malware gestaan, en in de toekomst zal dit ook nog wel voor blijven komen.. (Ook in de App Store is het voorgekomen: nieuws: Kaspersky treft eerste malware in App Store aan).
Je voorbeeld is nogal slecht gekozen, daar ging het niet om een virus (en zelfs niet eens om malware) aangezien je daarbij nog steeds het uiteindelijke installatiebestand buiten de market om moest installeren.
Ik denk dat dit deels ook komt omdat het detecteren van malware / virussen die dit soort geintjes gebruiken waarschijnlijk nog veel intensiever process is met als gevolg dat het batterij gebruik nog harder zal gaan.

Hoe meer je moet detecteren en hoe meer je iets moet detecteren op verschillende manieren hoe zwaarder het pakket gaat worden.

Want laten we wel wezen, de bekende als AVG kennen dit soort geintjes alang van hun ervaring met desktop virusscanners. Er was dus een reden dat ze dit niet toegepast hebben op hun mobiele tegenhanger.
Dan moet je het paper lezen
Our findings show that all the anti-malware products evaluated are susceptible to
common evasion techniques and may succumb to even trivial transformations not involving code-level changes.
Ze zijn dus geen van allen in orde.
Het minst slecht lijkt Dr. Web.
Volgens mij word het tijd dan google zelf eens een virusscanner voor android gaat ontwerpen.

Hun kunnen de virus scanner dieper in android bouwen dan dat anderen dat zouden kunnen (zonder root)
Een oud gezegde luid;
It's not a bug; it's an undocumented feature.

Voordat je daar aan begint zal Google Android op aantal gebieden moeten dichttimmeren, en ervoor zorgen dat apps niet zomaar zoveel rechten kunnen krijgen.

Een aantal jaar geleden vloekte en tierde nog iedereen toen Microsoft besloot om bij het installeren van software elke keer een melding kwam. Dat heeft er in mijn optiek wel aan bijgedragen aan een stuk bewustwording. Google heeft met Android gekozen voor Google play. Er wordt een soort van schijnveiligheid gekweekt doordat je moet inloggen, maar de programma's worden dus niet consequent gescand waardoor je slechte software via Play zelf binnenhaalt.

En een ketting is zo sterk als de zwakste schakel,
nu Android een dergelijke groot aantal gebruikers heeft is de kans groot dat onwetende flink wat kabaal kunnen maken omdat de telefoon niet goed werkt. Niet alleen data-misbruik( site-traffic genereren en zo hogere advertentie inkomen krijgen) , maar op een gegeven kunnen apps van banken worden gemanipuleerd.

Dat Google er aandacht aan moet besteden staat vast, maar een virusscanner is in de huidige situatie water naar de zee dragen. Eerst structuur van android aanpassen.
Het lijkt me onwenselijk als google de mogelijkheden van android gaat inperken om digibeten tegemoet te komen, beetje eigen verantwoordelijkheid mag toch wel verwacht worden, daarnaast zijn er al 2 gesloten telefoon operatingsystems (windows mobiel nummer X en iOS)
Is er nog niet, als je zo'n grote namen ziet tussen staan en dan de zelfde fouten hebben als de rest kun je beter zonder voortgaan en wachten tot er iets deftigs tussen zit.
Ik zou zeggen iets in de richting van LBE Security Master.
Dit is een pakket wat niet alleen scant maar ook actief controleert of de apps op de achtergrond geen persoolijke informatie of smsjes versturen.
Persoonlijk gebruik ik dan ook op android liever een pakket wat apps controleert op activiteit inplaats van virussen.
Google ik scheel, of is LBE Security Master een vaag Chinees product met een aantal gebrekkig engelse vertalingen, buiten de officiële market om?

https://play.google.com/s...tails?id=com.lbe.security

[Reactie gewijzigd door Redsandro op 3 mei 2013 15:16]

Hij bedoelt denk ik LBE privacy Guard. Die gebruik ik ook en vind ik een heel fijne app. (Al is het maar om mijn locatie niet te delen met FB)

Dit klinken wel als slechte producten zeg. Ik heb Lookout er zelf op staan, maar dat is meer om hem te traceren na diefstal. Dit zou wel schadelijk kunnen zijn wanneer bepaalde websites malware/virussen serveren. Apps via de Play Store zullen niet het probleem zijn lijkt me.

[Reactie gewijzigd door Eypo op 3 mei 2013 15:29]

LBE Security master is de opvolger van privacy guard.

De engelse en andere talen kun je hier vinden:
http://forum.xda-developers.com/showthread.php?t=1422479
Toch maar mee opletten, installeer je die op een Nexus 4 dan zit je in een bootloop en mag je uw nandroid backup terugzetten. (en ik ben niet de enige die dit had)
LBE SM is via XDA als engels vertaalde versie te krijgen.

Bevat virusscan, ad scan and block, permission blocker en nog een aantal handige functies. Vooral die permission blocker gebruik ik veel om apps niet mijn IMEI rond te laten sturen.
De virusscanner krijgt elke 2 dagen een update.

Het heeft wel ROOT nodig.
LBE SM is via XDA als engels vertaalde versie te krijgen.

Bevat virusscan, ad scan and block, permission blocker en nog een aantal handige functies. Vooral die permission blocker gebruik ik veel om apps niet mijn IMEI rond te laten sturen.
De virusscanner krijgt elke 2 dagen een update.

Het heeft wel ROOT nodig.
Ik wilde hetzelfde zeggen, maar dan met URL.

Sinds ik de tip kreeg van een medetweaker een poos terug is dit de eerste app die ik altijd installeer tezamen met AdAway (via Titanium Back-up omdat AdAway verwijderd is uit de Play Store).
En gaat deze net als LBE Privacy Master je Android 4.1 SGS en je Android 4.2 Nexus 4 softbricken?
Het antwoord op die vraag mis ik ook bij veel nieuwsartikels. Dan komt er een rij posts met allemaal suggesties en een aantal links naar vergelijkingen met verschillende resultaten. Ik denk dat niemand het eigenlijk weet maar dat vergelijkingen veel hits en veel revenue opleveren.

http://www.techsupportale...antivirus-app-android.htm

[Reactie gewijzigd door Redsandro op 3 mei 2013 15:11]

De Play Store zelf in combinatie met de gebruiker :)

De Play Store verbied al applicaties die root-toegang verkrijgen(verkrijgen, dus het rooten van het toestel, het gebruiken van root op een geroot toestel mag wel), dus de malware die bekende technieken gebruikt om root te krijgen worden al lang geblokkeerd.

Daarnaast is er nog een hoop malware die SMSjes verstuurd naar betaalde SMS nummers. Vanaf Android 4.2 krijgt de gebruiker een popup of hij dit wilt toestaan, hiervoor kon elke applicatie met de juiste permissies dit doen. Als je dus nog geen 4.2 hebt, dan meot je bij het installeren van een applicatie even kijken of die applicatie SMSjes mag versturen. En als ie dat mag, dan moet je even dubbelchecken of de applicatie die permissie ook echt nodig heeft :)
en dan? je kan niet zeggen "Ik wil niet dat deze app SMS kan versturen"

zou handig zijn voor apps die advertenties tonen "ik verbied deze app internet toegang"
daarvoor is LBE privacy Guard in combinatie met root toegang wel geschikt.
en doet het precies dat.
ja, dr is een app daar kan je de rechten van een programma mee ontnemen.. (heb even me tablet niet bij de hand... anders had ik het je hier in gezet....

gevonden: http://www.backes-srt.de/produkte/srt-appguard/

appguard is de app.. kan je alsnog zaken qua permissies ongedaan maken...

[Reactie gewijzigd door Dutch2007 op 3 mei 2013 15:40]

Het zou toch wil mooi zijn als je vanuit het OS kon regelen welke app welke toestemmingen heeft en niet gelijk 'ja deze app mag alles wat hij wil'

het lijkt mij dat dingen zoals dure sms'jes daarmee vrij makkelijk voorkomen worden.
Het zou toch wil mooi zijn als je vanuit het OS kon regelen welke app welke toestemmingen heeft en niet gelijk 'ja deze app mag alles wat hij wil'

het lijkt mij dat dingen zoals dure sms'jes daarmee vrij makkelijk voorkomen worden.
Tegenwoordig is het onderdeel in de gebruiksovereenkomst. Met installeren geef je dus eigenlijk expliciet de toestemming. Laten we het dan dus goed doen en dergelijke apps dus weigeren in de market als ze dergelijke onnodige functionaleiten nodig zijn. Dat zou ook in de grootte schelen, want een boel libraries hoeven niet mee gecompiled te worden of API-calls komen te vervallen, waardoor de app lichter wordt. :)
Tuurlijk bestaat dat pakket, dat heet iOS. Ik snap dat ik naar beneden gemod zal worden omdat ik het zeg maar het is gewoon een vaststaand feit.

Virusscanners op een telefoon? Ik snap dat eerlijk gezegd niet. Als je virusscanners nodig hebt op een telefoon kan je die telefoon gewoon best niet gebruiken. Bij een computer is het al onwenselijk maar een smartphone verzamelt zoveel data die interessant is voor criminelen en is ook nog eens gelinkt aan zoveel verschillende toepassingen die je portemonnee lichter kunnen maken dat als je echt goed bij je verstand bent je nee zegt tegen zo'n telefoon.
tsjah een moderne smartphone kun je qua OS, hardware en complexiteit best wel vergelijken met een pc van een aantal jaar geleden, en ja daar ware nook anti-virussen voor... Als je dan nagaat dat het marktaandeel van Android onderhand 75% is (http://www.nu.nl/tech/342...punt-smartphonemarkt.html) dan is het een heel aantrekkelijk platform om "aan te vallen"...
Ik denk dat die nog niet bestaan.
Is altijd kat en muis he met virusscanners.
Dit is echter wel een erg trieste ontdekking.
Gewoon je malicious rommel hernoemen naar iets.jpg
Er is volgens mij geen behoefte voor een Android vs IOS discussie, omdat beide platformen op alle gebieden wel iets mankeert. De perfecte OS bestaat niet dus heeft het ook geen zin om met de vinger te wijzen.

Wel goed van de universiteiten dat hier aandacht aan besteed wordt. Feedback van het onderzoek zou goed besteed kunnen worden voor de verbetering van de virusscanners.
Ga alsjeblieft niet flamen. Met zulke opmerkingen jut je het alleen maar op. Ieder zijn ding, en geen smartphone is perfect.
Ik gebruik zelf ESET op m'n Android toestellen en die doet het volgens dit onderzoek redelijk goed :)

[Reactie gewijzigd door Dj-sannieboy op 3 mei 2013 15:14]

Een gevoel van valse veiligheid, en waarschijnlijk een snellere lege batterij. :+
Het gaat er (mij in elk geval om) dat de telefoon het een dag uithoudt.

Of het 1,9 of 1,5 dag is is irrelevant, de telefoon moet toch elke avond aan het stroom ;)
Het blijft triest dat je op je smartphone een virusscanner nodig hebt. Natuurlijk kun je zonder als je weet waar je mee bezig bent, maar desondanks triest.

Imo zou dit prioriteit nummer 1 moeten zijn voor Google om dergelijke zaken op te lossen en betere beveiliging te garanderen. Anders verliezen ze binnenkort allerlei bedrijfstelefoons als klant denk ik (als dat nog niet gebeurd is).
Tuurlijk is dit triest. Maar ik geloof wel dat voor een malafide partij het veel lucratiever is om op een smartphone iets te installeren. Als je bijvoorbeeld al kijkt hoeveel prive data er op een telefoon staat. Afspraken, telefoonnummers, email, wat te denken van internetbankieren.
Imo zou dit prioriteit nummer 1 moeten zijn voor Google om dergelijke zaken op te lossen en betere beveiliging te garanderen.
Deels waar. De beveiliging is zo sterk als de zwakste schakel. En laten we eerlijk zijn, in 90% van de gevallen (geen feit, maar een schatting) is de zwakste schakel de mens. Ik vraag me af hoeveel überhaupt de melding van WhatsApp (om iets te noemen) hebben gelezen dat ze toegang willen tot je contacten en foto's, of dat Twitter gebruik wilt maken van je GPS. Als vervolgens 1% van de Android phones een fart-app of iets downloaden en gewoon maar op ja klikken bij de eerste melding, is dit niet altijd aan Google aan te rekenen. Al moet Google natuurlijk wel schadelijke apps verwijderen, maar dan kan het al te laat zijn.

[Reactie gewijzigd door Ypho op 3 mei 2013 15:27]

En laten we eerlijk zijn, in 90% van de gevallen (geen feit, maar een schatting) is de zwakste schakel de mens.
Dat zou betekenen dat andere platformen hetzelfde probleem hebben, maar dat hebben ze niet.

Het probleem zit niet bij de gebruiker, maar bij de openheid van het systeem en het gebrek aan goede controle op apps in de Play Store. Dit heeft voordelen, maar dus ook nadelen.

Virusscanners zijn wat dat betreft niet meer dan symptoombestrijding van een probleem dat bij het systeem zelf zit. De enige echte oplossing is het hele systeem (standaard) minder open maken, samen met een betere controle op apps in de Play Store. Voor meer ervaren gebruikers zouden ze een toggle kunnen maken om de telefoon wel volledig open te gooien, maar dat is dan op eigen risico. Vergelijk dat bijvoorbeeld met een standaard jailbreak op je iPhone.

Dan heb je in basis een systeem met de veiligheid van een WP of iOS, maar waar je nog wel de keuze hebt tot vrijheid.

[Reactie gewijzigd door Bosmonster op 3 mei 2013 15:56]

Zelfs als je weet waarmee je bezig bent zijn er programma's die veel informatie van je telefoon weten te halen. We hebben geen flauw idee! Op het moment dat een virus/spyware ontdekt wordt is er meestal al heel wat gebeurd.
Een virusscanner op mijn androidje? Dacht het niet. Zonder is ie al traag zat. En ervanuit gaande dat ik wel weet wat ik er allemaal op zet, moet het wel goed komen.
Weet jij dan wat je erop zet? Er zijn zoveel 'normale' programma's die meer doen dan ze vertellen. Hoeveel programma's al bijvoorbeeld ongevraagd je adresboek kopiëren en doorsturen naar hun eigen site. Het is al beter dan een paar jaar geleden, maar toch.
hoe zit dit dan met comodo mobile? die is dan weer niet getest. en daar ben ik ook wel erg benieuwd naar want die heb ik sinds gister op me mobiel staan.

misschien is die wat te weinig gedownload (100,000+)

persoonlijk had ik ook niet anders verwacht trouwens. malware probeert root rechten te krijgen. (lijkt me tenminste) zolang die virus/malware scanner niet op root level werkt kunnen ze ook nooit complete berscherming bieden.
Het is natuurlijk vervelend dat dit kan, maar uiteindelijk komen dit soort zaken voor 99% op gezond verstand aan. Als jij als een gek alle apps die je maar wat lijken gaat downloaden en niet bij de permissies kijkt, dan kan je zeggen wat je wil, maar ligt het gewoon aan jezelf als je een virus hebt. Wat dat betreft is ( of was?) iOS beter geschikt voor de wat minder technisch aangelegde mensen.

En als je er een beetje verstand van hebt flash je gewoon MIUI. Ingebouwde virusscanner, en een ingebouwde app waarmee je alle permissies van apps kan instellen, en er word ook nog eens bijgehouden wat ze doen.

Toch blijft het een beetje eng wat alle apps standaard mogen. Je locatie hebben, je smsjes lezen, je nummers bekijken, automatisch opstarten... als je er geen verstand van hebt tuin je er toch wel snel in.
dus je moet miui flashen om je mobiel veilig te houden? ik durf te wedden dat 90% van nederland niet eens weet hoe dat moet. ;)

wat ik wel met je eens ben is dat je gewoon op moet letten op wat je download (ook uit de playstore!)
Daar heb je gelijk in, daarom zei ik ook "Als je er een beetje verstand van hebt" ;) Ik bedoelde daarmee verstand van custom roms.
sorry, ik heb weer eens te opervlakkig gelezen |:(

weet iemand trouwens ook of 1 van die "virusscanner" apps ook gebruik kunnen maken van root functies?

[Reactie gewijzigd door coolkil op 3 mei 2013 16:22]

Het is je vergeven ;P
Ik denk dat voor een virusscanner root-toegang wel noodzakelijk is om goed te werken. Anders kan hij nooit kijken wat andere apps nou eigenlijk doen, en dus niet kijken of dat fout of goed is.
Sorry maar is dit nieuws? Er bestaat geen scanner die zonder root zomaar in packages kan kijken wat er precies gebeurt. Dat is toch doodnormaal dat dat niet kan? En dan blijft er maar weinig manieren over om een app te scannen...
Ja dit is nieuws voor mensen die denken dat ze veilig zijn voor virussen en daarvoor geld uitgeven aan een virusscanner.
Dat is toch doodnormaal dat dat niet kan?
Voor jou wellicht, maar voor de gemiddelde Android-gebruiker heft daar helemaal geen weet van. In die zin zou je kunnen zeggen dat de betreffende fabricant schijnveiligheid verkopen.
En dan blijft er maar weinig manieren over om een app te scannen...
Goh, wellicht zou Google dan eindelijk eens hun verantwoordelijkheid kunnen nemen?
Jammer dat je tegenwoordig virusscanners moet hebben op je mobieltje. Dan toch maar voor ifoon of ramenfoon gaan.
als je gewoon helemaal geen telefoon neemt heb er ook geen last van. of je neemt gewoon zo'n oude nokia, moterola of siemens.
Of je neemt een iPhone ;)
waar ook genoeg malware voor te vinden is
of voor een Windows Phone...
Zit ik ook over na te denken dat laatste, lijkt me heeeerlijk! Gewoon Whatsapp op m'n laptop en weer een fatsoenlijk sociaal leven!

Op dit item kan niet meer gereageerd worden.