Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 122 reacties

Uit een test van verschillende antimalwareoplossingen blijkt dat de nieuwe malwarescanner in Android 4.2 slechts in vijftien tot twintig procent van gevallen kon detecteren dat een app malware bevatte. Scanners van andere bedrijven scoorden beduidend beter.

Jelly Bean Het vergelijkend onderzoek werd uitgevoerd door Xuxian Jiang, associate professor bij de universiteit van North Carolina in de Verenigde staten. Jiang onderzocht hoe goed de ingebouwde malwarescanner van Android, die onlangs als onderdeel van versie 4.2 geïntroduceerd werd, is in het herkennen van malware en hoe hij zich verhoudt tot antimalwareoplossingen van andere fabrikanten.

Bij een eerste test werd geprobeerd om 1260 besmette apps te installeren, die bij elkaar 25 verschillende soorten malware met zich mee droegen. Bij 193 apps gaf de malwarescanner aan dat er iets niet in de haak was en werd de installatie tegengehouden, maar het overgrote deel werd gewoon doorgelaten.

In een tweede test vergeleek Jiang de malwarescanner met scanners van andere bedrijven. Hierbij werd een set van 49 apps gebruikt die elk met een ander type malware besmet waren. Hoewel de ingebouwde scanner het in dit geval met een detectiepercentage van 20,41 procent iets beter deed, wisten andere antimalwareoplossingen veel betere scores neer te zetten; de slechtste uit die groep scoorde iets meer dan 50 procent en er zat ook antimalwaresoftware bij die alle 49 soorten besmettingen wist te herkennen.

Volgens Jiang scoort Googles oplossing zo slecht omdat er slechts gekeken zou worden naar de bestandsnaam en de sha1-hash van een app, en niet naar de inhoud en werking. Jiang verwacht dat de scanner in de toekomst zal verbeteren wanneer Google de technologie van het bedrijf VirusTotal, dat het in september van dit jaar overkocht, integreert.

Moderatie-faq Wijzig weergave

Reacties (122)

een wallpaper-app die toegang wil tot phone call beveiliging is op meer uit toch ?

gouden tips om zo weining mogelijk malware te installeren:
  • altijd nagaan wie de ontwikkelaar is en kijken welke apps deze nog heeft uitgebracht, heb je gevoel dat er iets niet pluis is, niet installeren en op zoek naar alternatief
  • online reviews/forums lezen/raadplegen bv: Google Play & Androidapps - Deel 18
  • de app permissie checken
  • opletten met apk's !
enorm handige app is drippler voor de laatste nieuwtjes en weetjes over jou smartphone (indien die ertussen staat) en wat er uitkomt op android in het algemeen waarvan je kan uitgaan dat deze geen malware bevatten

https://play.google.com/store/apps/developer?id=Drippler

[Reactie gewijzigd door Rigs op 11 december 2012 09:45]

Een aanvulling op het treffen van de veiligheidsmaatregelen. Voor root-gebruikers is er een app beschikbaar in Google Play Store; LBE Privacy genaamd. Hiermee kun je voor elk applicatie individueel permissies beheren. ;)
Soms zijn het ook de alu-hoedjes die in de stress schieten. Zo heb ik zelf een wallpaper app gemaakt die "read phone-state" nodig heeft. Waarom? Om te detecteren of de telefoon een verbinding met internet heeft en aan de hand daarvan high-res images van internet haalt of low-res van de telefoon zelf.

Sommige, met name Duitsers (waarom?), schieten hierdoor in de stress. Het is soms ook gebrek aan kennis van de permissies, de frameworks (als phonegap) en de knullige namen bedacht door Google, die apps prematuur een slechte naam geven.

Maar net wat je zegt, zelf goed nadenken :)
Als reclame ook malware is (en dat is het als het persoongegevens oplepelt) dan kan ik me voorstellen dat Google zich wil beperken in wat ze aanmerken als malware. Google is in de basis immers een advertentiebedrijf.

Kijkt een betere scanner bijvoorbeeld ook naar apps die ongevraagd je phone identity of IMEI rondsturen? Waarschuwt het op gevaarlijke combinaties van permissions zoals "read phone state & identity" icm "full internet acces"?

Of wat dacht je van twee apps:
App 1: "read contacts" icm "modify contents of the SD card"
App 2: "read contents of the SD card" icm "full internet access"
Die twee apps samen kunnen je contactgegevens via internet naar een server pompen, terwijl de apps los van elkaar niet erg schadelijk lijken.

[Reactie gewijzigd door _Thanatos_ op 12 december 2012 23:17]

de slechtste uit die groep scoorde iets meer dan 50 procent en er zat ook antimalwaresoftware bij die alle 49 soorten besmettingen wist te herkennen.
Het zou wel interessant zijn om te weten welk programma dit is :)
Er zijn wel betere resultaten van een (behoorlijke) tijd terug. Een vergelijking van de scanners in maart 2012. Dit geeft echter een indicatie waar ik niet al te veel waarde aan zou hechten omdat er in zo'n korte tijd best veel kan veranderen. Je ziet sowieso dat daar al vele lagere detectieratio's in voorkomen dan in de test welke in dit artikel genoemd wordt.

Dan heb je ook nog av-comperatives van september, maar hier staat niets over detectieratio in vermeld. Dit gaat meer in op features en gebruik.

Wat ik me overigens afvraag, iets wat ook vermeld wordt in het av-test.org artilkel, is hoe de av apps werken die gebruik maken van de cloud.
As pointed out before, there are also apps which use their cloud to detect malware. While this
worked flawlessly with most products, both in emulated environments as well as on a real device
there were a few exceptions. We have seen products that were not able to query their cloud in the
emulator at all, even if full internet access was provided. There were also products that did have
some trouble on a real device. This might be due to latency issues and could only be resolved by
repeated tests until no further problems occurred.
Dit kan natuurlijk ook mee werken in de weging, als je een detectieratio van 100% hebt maar je cloud scanning niet altijd goed werkt heb je namelijk uiteindelijk geen 100% detectie.
Precies, waarom zijn alle scanners anoniem? Ik wil weten of er ook gratis scanners tussen zitten en wat ze kosten!
Tja android heeft vele voordelen. Het is open source en dus zijn er duizende mods. Je kan er heel veel mee, zonder teveel moeite instaleer je andere apps of maak je er zelf een.

Maar het heeft zeker zijn nadelen *zet alluhoedje op 8)7 * Google weet nogal veel over je en gaat niet altijd even goed met je privacy om *zet alluhoedje af 8)7 *. En omdat het opensource is, en de app niet word getest voordat de store ingaat is er een grote kans op virussen der gratis en voor niks bij krijgen.

Misschien dat ze de app controleren voordat het de store in gaat ipv op het toetsel zelf pas controleren...
En omdat het opensource is, en de app niet word getest voordat de store ingaat is er een grote kans op virussen der gratis en voor niks bij krijgen.
Volgens mij worden apps tegenwoordig wel gescand op virussen voor ze toegelaten worden tot de Play store. Wat de kwaliteit van die scan is weet ik verder niet, maar het is niet meer zo dat alles maar doorgelaten wordt.

Verder is je Open Source argument niet echt goed. Of iets open of gesloten is staat volledig los van de kans op malware. Een open architectuur, dus apps kunnen installeren buiten de officiele kanalen om, zou een beter argument zijn. Met een open architectuur geef je een belangrijk controlepunt uit handen, waardoor het risico op malware flink toeneemt. Maar alleen als je ook van die alternatieve kanalen gebruik maakt.
Google controleert al enige tijd alle aps in de playstore op malware.

Helaas is gebleken dat deze (geautomatiseerde) methode wel te omzeilen is.

In hoe verre dat op vandaag nog mogelijk is weet ik echter niet. Zolang dat het automatisch is kan ik me echter voorstellen dat dit nog steeds gaat.
Helaas is gebleken dat deze (geautomatiseerde) methode wel te omzeilen is.
Ik had dat intussen ook gevonden. Ik mag aannemen dat Google het nieuws ook volgt en hier maatregelen voor genomen heeft, dit is tenslotte al een half jaar bekend.
En Apple en Microsoft weten niks van je want deze informatie is compleet waardeloos om je user experience te verbeteren?

De grootste fout is dat bij het installeren van een app de rechten worden weergegeven, terwijl de doorsnee gebruiker niet wat deze inhouden en dit maar irritant vindt en klikt zo snel mogelijk op installeren. Zo kan je je afvragen waarom een spelletje toegang moet hebben tot je contacten? Of een zaklamp smsjes kunnen versturen?

Gelukkig zijn er inmiddels al verscheidene roms waarbij je expliciet toegang moet geven voor ieder recht dat privacy gevoelige informatie kan opvragen. Denk hierbij aan telefonie gegevens, IMEI en gps posities.

En wanneer je niet tevreden ben met de play store kan je toch een andere store gebruiken? Zo schijnt bijv Amazon zijn aanbod beter te controleren.
Dit kan Google beter niet doen. Beter geen veiligheid dan valse veiligheid. Bij geen veiligheid ben je meer op je hoede en ga je zoeken naar alternatieven.

Edit:
malware wordt inmiddels een serieus probleem voor mobiele devices en zijn een goudmijn voor spearhead attacks en gerichte phishing aanvallen.

[Reactie gewijzigd door Floor op 11 december 2012 09:07]

Als je zo veel gebruikers hebt als google zul je enige veiligheid je klanten aan moeten bieden hoe dan ook. Zoals we android allemaal kennen is dit een eerste versie en zal hier absoluut nog aan gewerkt worden.
Zoals al in het artikel stond "Jiang verwacht dat de scanner in de toekomst zal verbeteren wanneer Google de technologie van het bedrijf VirusTotal, dat het in september van dit jaar overkocht, integreert."
Ja maar breng de scanner uit wanneer hij een score haalt van 80-90%.
Niet met 20. Met veiligheid kan je geen Beta status veroorloven. Gezien de snelheid waarmee Google producten kan ontwikkelen en de kennis die er in huis is, hadden ze dit product gewoon niet op de markt moeten brengen.
Google brengt altijd eerst beta's uit, ook al functioneert het beter dan de concurrentie.

Dit is blijkbaar nog niet zo volwassen, wat niet erg is, want zolang je gewoon in de play store blijft, en een klein beetje je verstand gebruikt hoef je niet bang te zijn voor malware.
Wat de snelheid van Google betreft is je misschien ontgaan dat het eigenlijk altijd beta's zijn die ze op de markt brengen. Dat gaat lekker snel, en in principe zijn de producten gewoon bruikbaar.

Verder ben ik het niet met je eens dat ze het product niet op de markt hadden moeten brengen. 20% veiligheid is altijd nog beter dan 0% zolang dat maar duidelijk is voor de gebruiker. Dat past verder prima in de strategie van Google, dus mag geen verrassing zijn.
Inderdaad en je moet het natuurlijk ook een beetje anders zien

Stel ze scannen al de apps in de playstore
Wanneer je dan lokaal op bestandsnaam en hash controleert is die 20% natuurlijk niet representatief en is zeker 95% van de gebruikers netjes beschermd.

Alleen de mensen die "side loaden" lopen dan gevaar
Gebruikers moet gewoon altijd op hun hoede zijn.

Dit is trouwens ook geen valse veiligheid. De scanner houdt 20% tegen.
Als je het artikel goed gelezen hebt, weet je dat dit niet bij 20% zal blijven.

"Jiang verwacht dat de scanner in de toekomst zal verbeteren wanneer Google de technologie van het bedrijf VirusTotal, dat het in september van dit jaar overkocht, integreert."

(Reactie op Floor)

[Reactie gewijzigd door Koruda op 11 december 2012 09:12]

Het is sowieso jammer dat niet duidelijk wordt omschreven wat precies wordt aangemerkt als 'malware'. Het zou best kunnen dat het app is waarin advertenties zitten die meer schermruimte innemen dan toegestaan door google oid.

Is een ander kaliber dan malware die gegevens op je telefoon kan veranderen.
Met mobiele devices bedoel je android? Want apples veel bekritiseerde en door microsoft nagevolgde beleid om alleen goedgekeurde apps op mobiele devices toe te laten houdt het platform aardig vrij van malware.
Ik verwacht dat het met windows RT dezelfde kant op zal gaan. enkel android (en oude niet meer ondersteunde platformen zoals windows mobile) kennen dit probleem.
Ach, ook op iOS en windows mobile zal er data zijn die gelekt wordt zonder dat de gebruiker dat weet, vaak kun je dat niet eens uitzetten, feit is gewoon dat zodra je keuzevrijheid geeft op een systeem de gebruiker in toenemende mate het risico vormt, functionaliteit en keuze weghalen zoals op WM en iOS lijkt me nogal een grote opoffering voor een "probleem" zoals dit.
of gewoon "we scannen maar zijn niet 100% zeker dus wees alert en pas op"
Nogal zonde dat ze niet de moeite hebben genomen voor een goede scanner.

Wat ik ook jammer vind, is dat er niet vermeld wordt welke scanners er wel 100% tegen houden.
iemand die hier meer helderheid over kan geven?

EDIT:
Snappen bepaalde Tweakers het moderatiesysteem niet?
Dit is toch gewoon volop on-topic, en toch een lading off-topic beoordelingen.
Die ellende hier boven over wel iphone (wat hier gen f#ck mee te maken heeft) wordt soms wel als +1 gemodereerd..
En waarom moet er toch op zo'n apple sukkel gereageerd worden?
1 NOOB plaatst (waarschijnlijk zelfs met opzet, stomme fanboy's) een apple kreet.. direct wordt daar door een android fanboy weer op gereageerd... laat die onzin toch eens!!!

Die hele Apple, Samsung, Android ellende begint toch onderhand wel héél erg vervelend te worden!
Is dat nou zo moeilijk... Niet reageren in een topic met kreten als... Merk X heeft dat nooit.. Daarom heb ik merk X en niet Y...

[Reactie gewijzigd door HellStorm666 op 11 december 2012 14:50]

Waarschijnlijk omdat er geen een naar voren kwam die 100% alles tegenhoud (op 1 na dan, maar daar is er slechts 1 app getest). Zie de link in het bericht zelf.

http://www.cs.ncsu.edu/faculty/jiang/appverify/
Onder kopje 2
Ik denk dat je nog een kopje moet nemen en het eens rustig overlezen. ;) :P
Er zijn er twee die 100% scoren.

Uit de tests blijkt dat de Google application verification in 4.2 slechts 15,32% detecteert. (tabel 1)
(Google pretendeert dat je veilig bent als je deze service aan zet en altijd je apps laat verifiëren hiermee, of je nu uit de store laat installeren of niet.)

Met andere samples (wel alle 46 families, niet alle 1260) zijn vergelijkingstests gedaan, Voor de Google app verification is specifiek getest met VirusTotal, Googles eigen virusscanner.

Virus-Total(mediumblauw), scoorde 20,41%
Zowel Avast(lichtrood) als Trendmicro(lichtblauw) scoren 100% met dezelfde bedreigingen. (tabel 2)
Met Fortinet(donkerrood) als runner up met 97,96%
Avast en Trendmicro zijn dan ook in de grafiek als 100% te zien, tegen Google 20,41%.

Wat ik vreemd vind is dat ze, zie onderstaande quote, over specifiek vergelijken met VirusTotal spreken, deze nieuwe service op 20,41% testen, dit zo in de grafiek vermelden, maar onder de grafiek vermelden dat het resultaten van de in-Android-oplossing zijn.

"In addition, we perform another set of experiments to compare the Google's app verification service with existing third-party anti-virus engines. Specifically, we randomly picked up a sample from each malware family and test it with the VirusTotal service (acquired by Google in September 2012). In Table 2, we show the comparison with ten representative anti-virus engines from VirusTotal (i.e., Avast, AVG, TrendMicro, Symantec, BitDefender, ClamAV, F-Secure, Fortinet, Kaspersky, and Kingsoft). Overall, the detection rates of these representative anti-virus engines range from 51.02% to 100% while the detection rate of this new service is 20.41%. Figure 3 shows the average detection rates of this new app verification service and ten other representative anti-virus engines. "

Dus lees ik het nu verkeerd of is er een foutje ingeslopen waar door iedereen overheen gekeken wordt, inclusief Xuxian Jiang?
VirusTotal zit i.i.g. nog niet in 4.2 . :?

edit; maar even nagevraagd bij meneer Jiang via mail.

[Reactie gewijzigd door Teijgetje op 11 december 2012 18:56]

Is een van deze: Avast, AVG, TrendMicro, Symantec, BitDefender, ClamAV, F-Secure, Fortinet, Kaspersky, and Kingsoft.
Mochten ze op volgorde in de grafiek staan, wat niet in de tekst staat, dan is het Avast en TrendMicro, echter is dit dus niet zeker. Waarschijnlijk bewust gedaan door de onderzoeker, aangezien dit niet de bedoeling is van de test.
Ik verwacht dat degene die 100% scoorde op de 2e test, dezelfde virus-database heeft gebruikt als de onderzoeker ;)
Ik verwacht niet dat er scanners zijn die 100% tegen kunnen houden. Volgens mij blijf je als maker van anti-virus software altijd achter de feiten aan lopen...
Eerder een vraag dan een bijdrage maar hopelijk wat verduidelijking vanuit de community.

Maar wat bedoelen ze dan juist met malware?
Zijn dit zaken geinstalleerd vanuit de playstore waar je via malware binnenkrijgt dat ze dan op scannen.
Of gaat het om het scannen van de apps in de playstore zelf.
Of is het gewoon een systeem scan zoals je die kunt downloaden uit de playstore. Een beetje zoals windows defender ingebouwd maar dan bij android?
In dit laatste geval zou het dan scannen op rommel dat je zelf binnengehaald hebt, dankzij de vrijheid die android je biedt (om ineens de eerste reactie van de apple man hier te bekritiseren :p )
Attackers zette Apps in de play store die bckdoored zijn. Dat is het simpelweg.
Betreft vooral applicaties die door gebruikers zelf worden geinstalleerd uit een andere bron dan de play store, hoewel er ook wel eens een applicatie in de playstore voorkomt die problemen geeft (een tijdje terug was er een "nieuwe" truc om de playstore te omzeilen om een payload op het systeem te zetten) is dat verwaarloosbaar tov de problemen die mensen veroorzaken door maar zomaar van alles uit onbekende bron te installeren, voor die mensen is deze (en andere) scanner.
Ik zou wel eens graag weten welke app alle 49 besmettingen heeft gevonden.
Daar ben ik nou ook benieuwd naar. Draai nu zelf avg, maar dat zal hem waarschijnlijk niet zijn.
Ligt het aan mij of is dit een scheef onderzoek.

De Google scanner wordt 1260 apps en 25 malware versies getest en de andere met maar 49 apps welke elk een eigen malware versie zijn.
Als ze een echt eerlijk onderzoek hadden uitgevoerd hadden ze elke scanner aan dezelfde samenstelling van hoeveelheid apps en malware versies moeten onderwerpen. Bijv. 1260 apps welke 49 verschillende malware versies bevatten.
Het ligt aan jou. In de tweede test heeft men de Google scanner op dezelfde manier vergeleken met andere scanners, m.a.w. dezelfde 49 apps met virussen aan alle scanners. Hierbij scoorde de Google scanner het slechtste.
"Hoewel de ingebouwde scanner het in dit geval met een detectiepercentage van 20,41 procent iets beter deed, wisten andere antimalwareoplossingen veel betere scores neer te zetten; de slechtste uit die groep scoorde iets meer dan 50 procent en er zat ook antimalwaresoftware bij die alle 49 soorten besmettingen wist te herkennen."

Ik ben benieuwd welke antimalwaresoftware dit was/is?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True