近兩年智慧型手持裝置的銷售速度出現爆發性的成長,在智慧型手持裝置平台中,以iOS與Android兩大作業系統最為活躍,iOS以順暢的使用經驗征服了使用者的心,憑藉著Apple App Store上龐大開發社群的支援,豐富了iOS的內容,配合著Apple App Store嚴謹的審驗機制與Apple封閉的管理策略,iOS上鮮少聽聞有惡意軟體事件的發生。Android起步的時間較iOS晚,為了區別出與iOS的差異及快速吸收開發者投入創作,Android採取開放的管理策略,每位Android軟體開發者可以自由取得Android SDK進行開發,並且只要辦理簡單的手續就可上傳自己開發的Android軟體至Android Market上。
Android開放性衍生安全問題 防護軟體陸續問市
開放的管理策略為Android平台快速累積起豐富的軟體內容,累計至2011年2月,Android平台的軟體數量已超過15萬,進而吸引大量使用者開始使用Android平台裝置,同時也招來了惡意駭客的注意,開始開發Android平台上的惡意軟體程式,2010年中開始至今,陸陸續續已有超過100隻惡意軟體程式被發現並從Android Market下架,這些被發現的惡意程式,目的大多是竊取使用者機密資料並傳往不知名伺服器進行蒐集,雖然截止至目前尚未傳出嚴重的災害,但儼然已成為Android平台上的資安隱憂。
為了保障Android平台使用者的資料安全,國內外從事資安防護的公司如趨勢、諾頓與網秦等,陸續開發出Android平台上的防護軟體(表1),這些防護軟體大部分在Android Market都有付費與免費版本可以使用,除了廣告與部分特殊功能差異外,基本的惡意軟體防護功能大致相同,另外這些防護軟體同時也因應手持式移動裝置的特性,加入了其他相關安全功能,例如:手機遺失尋找、遠端手機鎖定、遠端手機資料刪除等功能。
表1、Android 防護軟體列表
| 防護軟體名稱 |
版本 |
下載人數 |
評價人數
|
評價 |
介面語言 |
| NetQin Mobile Anti-Virus |
4.8 |
>250,000 |
3,113 |
4.5 |
英文 |
| Trend Micro Mobile Security |
1.2 |
50,000-250,000 |
822 |
4 |
繁中 |
| Norton Mobile Security |
2.1.0.270 |
>250,000 |
6,905 |
4 |
英文 |
| Kapsersky Mobile Security |
9.10.75 |
5,000-10,000 |
486 |
4 |
英文 |
| Lookout Mobile Security |
6.0.1 |
>250,000 |
196,605 |
4.5 |
英文 |
| 360Safe Mobile Safe |
1.9.5 |
50,000-250,000 |
2,054 |
4.5 |
簡中 |
| Dr. Web Anti-virus Light |
6.00.8 |
>250,000 |
22,435 |
4.5 |
繁中 |
| AegisLab Anti-virus Free |
0.4.24 |
10,000-50,000 |
356 |
4.5 |
繁中 |
| HAURI ViRobot Mobile |
1.6.0.1103 |
>250,000 |
1,793 |
4 |
英文 |
| AVG Anti-Virus Free for Android |
2.8 |
>250,000 |
116,827 |
4.5 |
簡中 |
資料來源:Android Market,本文作者整理,2011/06/20。
眾多的Android防護軟體中,以Lookout、Dr. Web及AVG三間公司的產品下載次數最多,平均評價也在4.5顆星的高標之列,但這可能與產品上市時間的早晚相關,因此我們抱持著實驗精神對這些Android防護軟體設計了一系列的評測(表2),評測內容從消耗資源與防護能力兩方面來設計。
消耗資源指的是安裝防護軟體後所耗費的硬體資源,如:RAM使用量,ROM使用量,及耗電量,由於防護軟體安裝後會常駐在Android背景對檔案進行掃描防護,進而持續消耗手持裝置的電力,造成待機時間減少,因此特別將耗電量列入了本次的評測當中。
在防護能力的測試上,以掃描引擎與病毒碼為主要測試標的,在掃描引擎測試中,主要是驗證掃描引擎可以防護哪些惡意軟體的傳輸途徑,因此將透過Android Market及Web等方式來下載檔案,觀察防護軟體是否有進行掃描。至於病毒碼測試,則蒐集一批已被認定為有害的Android惡意程式,將這些惡意程式放置到Android裝置上,測試Android防護軟體的病毒碼是否能夠準確地辨識出惡意程式並進行阻擋。
表2、Android防護軟體評測項目
| 評測項目 |
|
評測方式說明 |
| 硬體資源消耗程度 |
|
手持式裝置安裝防護軟體後所耗費的所有資源,包括:
1.RAM使用量
2.ROM使用量
3.耗電量 |
| 防護能力 |
掃描引擎 |
驗證掃描引擎可以防護哪些惡意軟體的傳輸途徑,包括:
1.已安裝軟體掃描
2.SD卡掃描
3.Android Market安裝
4.Gmail附件檔案下載安裝
5.Web下載安裝 |
| 防護能力 |
病毒碼 |
將一批公認的Android惡意程式放到Android裝置上,藉此測試其病毒碼資料庫精確度,能否辨識出惡意程式並進行阻擋。 |
資料來源:本文作者整理。
評測結果一:硬體資源消耗程度
本次測試所使用的設備為Google推出的Android示範手機Google Nexus S,Nexus S的硬體由三星(Samsung)製造,軟體則由Google一手包辦,每當Google推出新版本Android作業系統時,Nexus S可以用最快的速度享受到升級服務,本次評測採用最新的Android版本2.3.4,相關軟硬體資訊請參考圖1及表3。
.png)
圖1、評測手機資訊
表3、Nexus硬體規格簡表
| 硬體種類 |
硬體規格 |
| CPU |
1GHz Cortex A8 Hummingbird 處理器 |
| RAM容量 |
512MB |
| ROM容量 |
16GB |
資料來源:本文作者整理。
一、防護軟體ROM與RAM使用量 ViRobot / AegisLab表現突出
首先在Nexus S上安裝表1所列的10套防護軟體,並在安裝完成後,開始評測前兩項評測項目:ROM使用量與RAM使用量。ROM等同於桌上型硬碟大小,當空間滿載時,就無法繼續安裝軟體,甚至會造成作業系統產生不穩定的狀況發生。目前市售的Android手機根據其產品高低階定位不同,所搭載的ROM與RAM容量有所差異,一般而言,ROM介於1~8GB之間,RAM則介於256MB~1GB之間。
在Android平台上,軟體安裝可以分為應用程式與資料兩部分,應用程式指的是軟體本身,資料則是軟體在執行過程中所產生的相關檔案,防護軟體的資料通常存放著像是病毒碼等相關資訊,預設應用程式與資料都會佔用ROM空間來儲存。在安裝完10套不同的防護軟體後,各套防護軟體的ROM使用量如圖2,在這個項目中,ViRobot與AegisLab的表現較為出色,佔用不到1.5MB的ROM,10套防護軟體的應用程式與資料總容量皆小於4MB,以現今萬元左右主流手機所擁有至少2GB的ROM容量來說,安裝防護軟體所需的ROM使用量幾乎可以被忽略。
防護軟體在安裝完成後會在背景執行,並常駐在記憶體中保護Android手機,當使用者從不同途徑下載檔案或安裝軟體時,防護軟體皆會進行掃描,不同的掃描動作所需佔用的記憶體容量不同,其中以待機時所需佔用的記憶體最少,在這個測試項目中,主要觀察各套防護軟體在待機時所佔用的記憶體容量,以了解各套防護軟體執行時所需的最低記憶體容量。結果如圖3所示,表現最好與最差的分別是NetQin與AVG,其記憶體使用量差距高達18.18MB,AVG所耗用的記憶體幾乎足以讓兩套NetQin執行,在只有256MB記憶體的Android手機中,這樣的差異足以讓使用者感受到明顯差距,並可能影響到使用者的安裝意願。
單位:MB
.png)
圖2、各防護軟體的ROM使用量
單位:MB
.png)
圖3、各防護軟體待機時的RAM使用量
二、防護軟體耗電量 360Safe / ViRobot / TrendMicro / Lookout各擅勝場
除了RAM與ROM使用量之外,另外一個讓使用者擔心的議題是,安裝防護軟體後所造成的耗電量增加問題,耗電量多寡會因為軟體使用到的CPU資源、LCD背光強弱,以及其他硬體資源的使用細節不同而有所差異。一般Android手機上皆已內建耗電量分析軟體,在”設定>>關於手機>>電池使用狀況”中可以找到這隻軟體,並了解電力是被哪些軟體消耗掉,然而根據過去交通大學嵌入式測試中心(EBL, Embedded Benchmarking Lab)的測試經驗,由於內建的耗電量分析軟體是使用軟體預估的方法來分析耗電量,因此在校正之前與實際電力消耗有一段不小的差距。
為了解安裝10套防護軟體後的耗電量狀況,我們以額外的電線連接Nexus S電池接腳與Nexus S手機本體內的接腳,根據電磁效應,我們可以使用電流勾表觀察電線周邊的磁場變化,以了解執行各種不同掃描工作時,防護軟體的耗電量多寡。在每套防護軟體的測試過程中,手機上只安裝與開啟待測的防護軟體,並關閉指定下載途徑以外的所有程式,這個評測項目共分為四個小項:(1)進行Full Scan時、(2)下載Android Market時、(3)下載Gmail附件時、(4)透過內建瀏覽器下載Web檔案時,測試防護軟體在上述四種狀況下的電力消耗狀況。
由於手機運作時本身就有基本的電力消耗,為了清楚了解安裝防護軟體後額外增加的耗電量多寡,在進行測試前,必須先量測未安裝防毒軟體狀況下的耗電量,因此每一個評測小項除了十套防護軟體的耗電量外,另外還包含了一個未安裝防毒軟體的基礎數值,各小項的測試結果如圖4~7所示,為求評測結果精確,每個測試結果皆反覆進行5次測試,並以計算平均值的方式呈現結果。
Nexus S在使用不同防毒軟體進行Full Scan的狀況下,瞬間耗電量介於0.448~0.613毫安培(mA)之間,以AVG防護軟體進行Full Scan所需消耗的電力最多,相較於手機待機狀況的耗電,AVG防護軟體需要額外消耗125%的電力才能執行Full Scan功能,在Full Scan測試項目中,以360Safe與ViRobot防護軟體的耗電表現最好,分別為0.449mA與0.448mA,因為低於0.01mA以下的差異屬於測試的誤差範圍,因此這兩套防護軟體的Full Scan耗電量測試結果可說是不相上下。
單位:毫安培(mA)
.png)
圖4、各防毒軟體進行Full Scan時的耗電狀況
單位:毫安培(mA)
.png)
圖5、各防毒軟體掃描Android Market下載時的耗電狀況
第二個耗電量測試項目為Android Market軟體下載,Android Market軟體下載是目前Android使用者取得軟體的最大途徑,加上Android Market對於軟體審驗較為鬆散,因此大部分防護軟體都會針對由Android Market下載回來的軟體加以掃描,此時防護軟體會產生額外的耗電問題,這個測試項目中各家防毒軟體的差異並不大,平均而言,約需增加30%左右的耗電量才能完成Android Market軟體掃描。
內建Gmail程式是Android平台吸引使用者的原因之一,Google提供使用者容量充足的電子郵件儲存空間,加上精準的垃圾信過濾機制,使得Gmail一直深受使用者喜愛,在這個測試項目中,我們發送了一封附加惡意軟體的電子郵件至Gmail信箱,測試者在Android手機上使用內建的Gmail程式開啟郵件下載安裝惡意軟體,並同時量測耗電量,本測試項目中以TrendMicro的耗電表現最為出色,僅較未安裝防毒軟體增加11%的耗電量。
耗電量的最後一個測試項目,乃是透過Android內建瀏覽器下載網頁上的惡意軟體,以觀察防毒軟體在掃描瀏覽器下載所增加的耗電量,Lookout與360Safe的測試結果與一般使用相等,為本項測試表現最為出色的軟體。
單位:毫安培(mA)
.png)
圖6、各防毒軟體使用Android內建Gmail掃描附件時的耗電狀況
單位:毫安培(mA)
.png)
圖7、各防毒軟體掃描Android內建瀏覽器下載時的耗電狀況
測試結果二:防護能力
防護軟體的防護能力可以分為掃描引擎與病毒碼兩部分來討論,前者是驗證掃描引擎可以防護哪些惡意軟體的傳輸途徑,後者則是為了測試防護軟體的偵測力。
一、掃描引擎偵測 60%支援SD卡檔案掃描
掃描引擎必須要能針對不同的檔案安裝途徑進行掃描,才能夠提供完善保護,表4表 4為透過不同途徑傳送一隻已知惡意程式所獲得的測試結果,從測試結果中可知目前絕大多數軟體已支援SD卡內的靜態檔案掃描,這項功能可以協助使用者更早期發現惡意軟體的存在,避免使用者不小心安裝惡意軟體,讓使用者受到更周延的保護,除了Lookout、360Safe、AegisLab與AVG四套防護軟體外,其餘防護軟體皆支援SD卡內的靜態檔案掃描。
另外,10套防護軟體中,只有360Safe會要求擁有root權限,以便更進一步掃描或防堵其他惡意程式,root權限為作業系統的最高控制等級,目前國內販售的所有Android手機預設皆不提供root權限,使用者需要透過自行刷機才可啟用root權限,但刷機將會造成Android手機喪失保固等衍生問題,使用者可自行斟酌是否要進行刷機。
表四、防護軟體掃描引擎偵測能力
| 防護軟體名稱 |
SD卡檔案掃描 |
已安裝軟體掃描 |
Market
安裝掃描 |
Gmail
安裝掃描 |
Web
安裝掃描 |
| NetQin Mobile Anti-Virus |
Yes(註1) |
Yes |
Yes |
Yes |
Yes |
| Trend Micro Mobile Security |
Yes |
Yes |
Yes |
Yes |
Yes |
| Norton Mobile Security |
Yes |
Yes |
Yes |
Yes |
Yes |
| Kapsersky Mobile Security |
Yes |
Yes |
Yes |
Yes |
Yes |
| Lookout Mobile Security |
No |
Yes |
Yes |
Yes |
Yes |
| 360Safe Mobile Safe(註2) |
No |
Yes |
No |
No |
No |
| Dr. Web Anti-virus Light |
Yes |
Yes(註3) |
Yes |
Yes |
Yes |
| AegisLab Anti-virus Free |
No |
Yes |
Yes |
Yes |
Yes |
| HAURI ViRobot Mobile |
Yes |
Yes |
Yes |
Yes |
Yes |
| AVG Anti-Virus Free for Android |
No |
Yes |
Yes |
Yes |
Yes |
註1、無法提供有問題的檔案清單列表,但可顯示有問題的檔案數量並執行清除。
註2:安裝完成執行後會要求root權限。
註3:掃描完成後,會發生"未知錯誤、請發送報表",造成無法閱讀掃描結果的狀況。
二、病毒碼偵測力 Dr. Web / Kaspersky / TrendMicro最高
在病毒碼測試的部份,以網路上公開的樣本網站所提供的惡意軟體樣本進行測試(http://contagiodump.blogspot.com/2011/03/take-sample-leave-sample-mobile-malware.html),該網站蒐集各式移動裝置上的惡意程式樣本,原本還計劃納入國網中心所提供的樣本,但因其與該網站完全相同,因此僅使用該網站所提供的樣本進行測試。經過整理後,共找出38隻惡意程式樣本對Android平台有直接威脅,其中包含了AngryBird破解版等,在這38隻惡意程式樣本中,有4隻的軟體名稱及版本相同,但經過md5計算後發現是不同的檔案,因此在SD卡掃描時,將38隻樣本檔案全部放入SD卡進行掃描,而已安裝的軟體掃描部份,則採用未重複的34隻檔案樣本來進行掃描,測試結果如圖8所示,若數據小於0表示該軟體不支援這項功能。綜合表現看起來以Dr. Web、Kaspersky、及TrendMicro的偵測能力最高。
8、惡意程式樣本測試結果
結論
隨著消費者行動上網的需求增加,資訊安全的主要戰場也隨之改變,從傳統windows作業系統擴展到各種不同的手持裝置作業系統上,市佔率快速成長的Android必將成為下一個駭客覬覦的主要目標,從去(2010)年中開始陸續有許多Android軟體被發現有惡意的行為,雖然目前尚未傳出有使用者因為這些惡意軟體而蒙受損失的消息,但保障個人資料安全已成為Android平台刻不容緩的一項議題,建議使用者除了安裝適當的防毒軟體以外,更應該養成良好的手機使用習慣,盡量選擇經過驗證的軟體,避免安裝來路不明的程式及瀏覽不明網站,以維護自身資料安全。
(本文作者現任職於NBL交大網路測試中心)