用戶只是想安裝卡車或者汽車類駕駛的游戲，誰(shuí)能想到這些軟件竟然都是惡意軟件? IT 安全公司 ESET 的安全研究員 Lukas Stefanko19日在推特上發(fā)

“用戶只是想安裝卡車或者汽車類駕駛的游戲，誰(shuí)能想到這些軟件竟然都是惡意軟件? ”

IT 安全公司 ESET 的安全研究員 Lukas Stefanko19日在推特上發(fā)布了推文，稱他在 Google Play 上發(fā)現(xiàn)了惡意應(yīng)用，在 Google Play 將下架之前，他所說(shuō)的游戲安裝次數(shù)總計(jì)超過(guò) 58 萬(wàn)次。

出問(wèn)題的游戲程序共有 13 款，都來(lái)自一個(gè)域名在伊斯坦布爾的應(yīng)用開發(fā)者名下。用戶以為自己在下載游戲，但點(diǎn)開后程序就會(huì)發(fā)現(xiàn)它莫名其妙自動(dòng)崩潰。每當(dāng)設(shè)備開機(jī)，惡意軟件還會(huì)自動(dòng)啟動(dòng)，“完全訪問(wèn)” 其網(wǎng)絡(luò)流量，給用戶帶來(lái)泄露隱私的風(fēng)險(xiǎn)。

同時(shí)有些應(yīng)用會(huì)自動(dòng)隱藏圖標(biāo)，讓人無(wú)從找回卸載，但實(shí)際上它還在悄悄運(yùn)行。

13 款游戲軟件。圖片來(lái)自 Lukas Stefanko 的Twitter截圖 。

Google 發(fā)言人 Scott Westover 稱這些應(yīng)用違法了 Google Play 的規(guī)則，他們已經(jīng)下架所有 13 款游戲。

Google Play 去年刪除了多達(dá) 70 萬(wàn)個(gè)惡意應(yīng)用程序，比較嚴(yán)重的一起是，安全研究人員 Dexter Genius 發(fā)現(xiàn)黑客利用 Google Play 商店作為惡意軟件存儲(chǔ)倉(cāng)庫(kù)、上架冒牌的 WhatsApp 應(yīng)用，在消息發(fā)布之前已有超過(guò) 100 萬(wàn)的安卓用戶下載使用。

相比于封閉的 iOS，Android 開放體系安全性一直受到質(zhì)疑，Google 也在改進(jìn)篩查機(jī)制和技術(shù)。自 Android 4.2 開始，Google 就在所有設(shè)備的 Google Play 中集成了 Verify Apps 解決方案，以此來(lái)檢測(cè)潛在的惡意軟件(Potential Harmful Apps)，一旦檢測(cè)到，Verify Apps 就會(huì)警告用戶，提醒他們卸載軟件。

但還是有應(yīng)用可以繞過(guò) Verify Apps 的檢測(cè)。2017 年 1 月，Google 公布了最新算法，在 Verify Apps 失效的情況下也能檢測(cè)出惡意軟件。如果一臺(tái)設(shè)備的 Verify Apps 停止工作，那么這臺(tái)設(shè)備就會(huì)被認(rèn)為是 “死亡或者不安全”(Dead or Insecure，DOI)。在這些設(shè)備中，如果某個(gè)應(yīng)用出現(xiàn)的概率超過(guò)某個(gè)上限，那么這個(gè)應(yīng)用就被認(rèn)為是 DOI 應(yīng)用。

Google 的監(jiān)測(cè)算法。圖片來(lái)自 Engadget

Google 表示，相較 2016 年，2017 年攔截惡意軟件的數(shù)量提升了 70%。他們還致力于改進(jìn)上架前的審核機(jī)制，說(shuō)含有 “惡意內(nèi)容” 的軟件中有 99% 都在安裝之前被清理掉了。

不過(guò)漏洞還是存在，今年 5 月，美國(guó)軟件公司Symantec 就發(fā)現(xiàn)有 7 個(gè)曾經(jīng)被下架的惡意軟件，只靠簡(jiǎn)單地更換開發(fā)者和 App 名字，就能重新在 Google Play 上架。這些惡意軟件將自己偽裝成谷歌產(chǎn)品的圖標(biāo)來(lái)增加真實(shí)性，或是延遲進(jìn)行惡意攻擊的時(shí)間(例如安裝后 4 小時(shí)才生效)，從而爭(zhēng)取能更長(zhǎng)時(shí)間留在手機(jī)里。

蘋果的 App Store 審核更嚴(yán)格。每一個(gè)軟件開發(fā)商也會(huì)有蘋果提供的代碼簽名證書，以確認(rèn)開發(fā)者的身份、保證代碼在簽名后不會(huì)被惡意篡改。

iOS 采用沙盒機(jī)制，使得每個(gè)程序之間的文件夾不能相互直接訪問(wèn)，應(yīng)用程序若想從外部接收或向外部請(qǐng)求數(shù)據(jù)，必須要經(jīng)過(guò)權(quán)限認(rèn)證，否則無(wú)法獲取數(shù)據(jù);蘋果還會(huì)定期更新 iOS 系統(tǒng)，使用戶能獲得最新安全機(jī)制的保護(hù)，以阻止舊的潛在惡意軟件感染設(shè)備。

不過(guò) iOS 也無(wú)法完全杜絕惡意應(yīng)用。2016 年，還有一款叫做 AceDeceiver 的軟件，利用蘋果 FairPlay DRM(數(shù)字版權(quán)管理)保護(hù)機(jī)制漏洞在 iOS 設(shè)備上安裝惡意軟件，不論手機(jī)是否是越獄設(shè)備。

更難管的應(yīng)用是知識(shí)產(chǎn)權(quán)侵犯。2017 年底 PC 游戲 Cuphead(茶杯頭大冒險(xiǎn))在 iOS 上出現(xiàn)了一個(gè)冒名頂替的同名手游，開發(fā)者名稱也一字不差，甚至還有官網(wǎng)鏈接。按照蘋果的審核指南，開發(fā)者提交的材料中不得包含受保護(hù)的素材，比如商標(biāo)、出版作品、音視頻資料等等。但這套機(jī)制更有效的部分可能是事后處理，而不是審核本身，審核工作還是高度依賴員工的判斷，給審核造成了巨大的麻煩。

關(guān)鍵詞： Google Play 游戲 惡意軟件