https://www.informationsecurity.com.tw/seminar/2024_Digicentre/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

十款Android防護軟體評測 誰是最佳守門員?

2011 / 10 / 06
王阜毓
十款Android防護軟體評測  誰是最佳守門員?

近兩年智慧型手持裝置的銷售速度出現爆發性的成長,在智慧型手持裝置平台中,以iOSAndroid兩大作業系統最為活躍,iOS以順暢的使用經驗征服了使用者的心,憑藉著Apple App Store上龐大開發社群的支援,豐富了iOS的內容,配合著Apple App Store嚴謹的審驗機制與Apple封閉的管理策略,iOS上鮮少聽聞有惡意軟體事件的發生。Android起步的時間較iOS晚,為了區別出與iOS的差異及快速吸收開發者投入創作,Android採取開放的管理策略,每位Android軟體開發者可以自由取得Android SDK進行開發,並且只要辦理簡單的手續就可上傳自己開發的Android軟體至Android Market上。

 

Android開放性衍生安全問題  防護軟體陸續問市

 

開放的管理策略為Android平台快速累積起豐富的軟體內容,累計至20112月,Android平台的軟體數量已超過15萬,進而吸引大量使用者開始使用Android平台裝置,同時也招來了惡意駭客的注意,開始開發Android平台上的惡意軟體程式,2010年中開始至今,陸陸續續已有超過100隻惡意軟體程式被發現並從Android Market下架,這些被發現的惡意程式,目的大多是竊取使用者機密資料並傳往不知名伺服器進行蒐集,雖然截止至目前尚未傳出嚴重的災害,但儼然已成為Android平台上的資安隱憂。

 

為了保障Android平台使用者的資料安全,國內外從事資安防護的公司如趨勢、諾頓與網秦等,陸續開發出Android平台上的防護軟體(表1),這些防護軟體大部分在Android Market都有付費與免費版本可以使用,除了廣告與部分特殊功能差異外,基本的惡意軟體防護功能大致相同,另外這些防護軟體同時也因應手持式移動裝置的特性,加入了其他相關安全功能,例如:手機遺失尋找、遠端手機鎖定、遠端手機資料刪除等功能。

 

1Android 防護軟體列表

防護軟體名稱 版本 下載人數

評價人數

評價 介面語言
NetQin Mobile Anti-Virus 4.8 >250,000 3,113 4.5 英文
Trend Micro Mobile Security 1.2 50,000-250,000 822 4 繁中
Norton Mobile Security 2.1.0.270 >250,000 6,905 4 英文
Kapsersky Mobile Security 9.10.75 5,000-10,000 486 4 英文
Lookout Mobile Security 6.0.1 >250,000 196,605 4.5 英文
360Safe Mobile Safe 1.9.5 50,000-250,000 2,054 4.5 簡中
Dr. Web Anti-virus Light 6.00.8 >250,000 22,435 4.5 繁中
AegisLab Anti-virus Free 0.4.24 10,000-50,000 356 4.5 繁中
HAURI ViRobot Mobile 1.6.0.1103 >250,000 1,793 4 英文
AVG Anti-Virus Free for Android 2.8 >250,000 116,827 4.5 簡中
資料來源:Android Market,本文作者整理,2011/06/20

 

眾多的Android防護軟體中,以LookoutDr. WebAVG三間公司的產品下載次數最多,平均評價也在4.5顆星的高標之列,但這可能與產品上市時間的早晚相關,因此我們抱持著實驗精神對這些Android防護軟體設計了一系列的評測(表2),評測內容從消耗資源與防護能力兩方面來設計。

 

消耗資源指的是安裝防護軟體後所耗費的硬體資源,如:RAM使用量,ROM使用量,及耗電量,由於防護軟體安裝後會常駐在Android背景對檔案進行掃描防護,進而持續消耗手持裝置的電力,造成待機時間減少,因此特別將耗電量列入了本次的評測當中。

 

在防護能力的測試上,以掃描引擎與病毒碼為主要測試標的,在掃描引擎測試中,主要是驗證掃描引擎可以防護哪些惡意軟體的傳輸途徑,因此將透過Android MarketWeb等方式來下載檔案,觀察防護軟體是否有進行掃描。至於病毒碼測試,則蒐集一批已被認定為有害的Android惡意程式,將這些惡意程式放置到Android裝置上,測試Android防護軟體的病毒碼是否能夠準確地辨識出惡意程式並進行阻擋。

 

2Android防護軟體評測項目 

評測項目 評測方式說明
硬體資源消耗程度

手持式裝置安裝防護軟體後所耗費的所有資源,包括:

1.RAM使用量

2.ROM使用量

3.耗電量
防護能力 掃描引擎

驗證掃描引擎可以防護哪些惡意軟體的傳輸途徑,包括:

1.已安裝軟體掃描

2.SD卡掃描

3.Android Market安裝

4.Gmail附件檔案下載安裝

5.Web下載安裝
防護能力 病毒碼 將一批公認的Android惡意程式放到Android裝置上,藉此測試其病毒碼資料庫精確度,能否辨識出惡意程式並進行阻擋。

資料來源:本文作者整理。

 

評測結果一:硬體資源消耗程度

 

本次測試所使用的設備為Google推出的Android示範手機Google Nexus SNexus S的硬體由三星(Samsung)製造,軟體則由Google一手包辦,每當Google推出新版本Android作業系統時,Nexus S可以用最快的速度享受到升級服務,本次評測採用最新的Android版本2.3.4,相關軟硬體資訊請參考圖1及表3

 

圖1、評測手機資訊

 

表3Nexus硬體規格簡表 

硬體種類 硬體規格
CPU 1GHz Cortex A8 Hummingbird 處理器
RAM容量 512MB
ROM容量 16GB

資料來源:本文作者整理。

 

一、防護軟體ROMRAM使用量  ViRobot / AegisLab表現突出

 

首先在Nexus S上安裝表1所列的10套防護軟體,並在安裝完成後,開始評測前兩項評測項目:ROM使用量與RAM使用量。ROM等同於桌上型硬碟大小,當空間滿載時,就無法繼續安裝軟體,甚至會造成作業系統產生不穩定的狀況發生。目前市售的Android手機根據其產品高低階定位不同,所搭載的ROMRAM容量有所差異,一般而言,ROM介於1~8GB之間,RAM則介於256MB~1GB之間。

 

Android平台上,軟體安裝可以分為應用程式與資料兩部分,應用程式指的是軟體本身,資料則是軟體在執行過程中所產生的相關檔案,防護軟體的資料通常存放著像是病毒碼等相關資訊,預設應用程式與資料都會佔用ROM空間來儲存。在安裝完10套不同的防護軟體後,各套防護軟體的ROM使用量如圖2,在這個項目中,ViRobotAegisLab的表現較為出色,佔用不到1.5MBROM10套防護軟體的應用程式與資料總容量皆小於4MB,以現今萬元左右主流手機所擁有至少2GBROM容量來說,安裝防護軟體所需的ROM使用量幾乎可以被忽略。

 

防護軟體在安裝完成後會在背景執行,並常駐在記憶體中保護Android手機,當使用者從不同途徑下載檔案或安裝軟體時,防護軟體皆會進行掃描,不同的掃描動作所需佔用的記憶體容量不同,其中以待機時所需佔用的記憶體最少,在這個測試項目中,主要觀察各套防護軟體在待機時所佔用的記憶體容量,以了解各套防護軟體執行時所需的最低記憶體容量。結果如圖3所示,表現最好與最差的分別是NetQinAVG,其記憶體使用量差距高達18.18MBAVG所耗用的記憶體幾乎足以讓兩套NetQin執行,在只有256MB記憶體的Android手機中,這樣的差異足以讓使用者感受到明顯差距,並可能影響到使用者的安裝意願。

 

                                                                           單位:MB

 

   2、各防護軟體的ROM使用量

 

                                                                          單位:MB

  3、各防護軟體待機時的RAM使用量

 

 

二、防護軟體耗電量  360Safe / ViRobot / TrendMicro / Lookout各擅勝場

 

除了RAMROM使用量之外,另外一個讓使用者擔心的議題是,安裝防護軟體後所造成的耗電量增加問題,耗電量多寡會因為軟體使用到的CPU資源、LCD背光強弱,以及其他硬體資源的使用細節不同而有所差異。一般Android手機上皆已內建耗電量分析軟體,在設定>>關於手機>>電池使用狀況中可以找到這隻軟體,並了解電力是被哪些軟體消耗掉,然而根據過去交通大學嵌入式測試中心(EBL, Embedded Benchmarking Lab)的測試經驗,由於內建的耗電量分析軟體是使用軟體預估的方法來分析耗電量,因此在校正之前與實際電力消耗有一段不小的差距。

 

為了解安裝10套防護軟體後的耗電量狀況,我們以額外的電線連接Nexus S電池接腳與Nexus S手機本體內的接腳,根據電磁效應,我們可以使用電流勾表觀察電線周邊的磁場變化,以了解執行各種不同掃描工作時,防護軟體的耗電量多寡。在每套防護軟體的測試過程中,手機上只安裝與開啟待測的防護軟體,並關閉指定下載途徑以外的所有程式,這個評測項目共分為四個小項:(1)進行Full Scan時、(2)下載Android Market時、(3)下載Gmail附件時、(4)透過內建瀏覽器下載Web檔案時,測試防護軟體在上述四種狀況下的電力消耗狀況。

 

由於手機運作時本身就有基本的電力消耗,為了清楚了解安裝防護軟體後額外增加的耗電量多寡,在進行測試前,必須先量測未安裝防毒軟體狀況下的耗電量,因此每一個評測小項除了十套防護軟體的耗電量外,另外還包含了一個未安裝防毒軟體的基礎數值,各小項的測試結果如圖4~7所示,為求評測結果精確,每個測試結果皆反覆進行5次測試,並以計算平均值的方式呈現結果。

 

Nexus S在使用不同防毒軟體進行Full Scan的狀況下,瞬間耗電量介於0.448~0.613毫安培(mA)之間,以AVG防護軟體進行Full Scan所需消耗的電力最多,相較於手機待機狀況的耗電,AVG防護軟體需要額外消耗125%的電力才能執行Full Scan功能,在Full Scan測試項目中,以360SafeViRobot防護軟體的耗電表現最好,分別為0.449mA0.448mA,因為低於0.01mA以下的差異屬於測試的誤差範圍,因此這兩套防護軟體的Full Scan耗電量測試結果可說是不相上下。

 

                                                            單位:毫安培(mA) 

  圖4、各防毒軟體進行Full Scan時的耗電狀況

 

                                                           單位:毫安培(mA)

 5、各防毒軟體掃描Android Market下載時的耗電狀況

  

  

第二個耗電量測試項目為Android Market軟體下載,Android Market軟體下載是目前Android使用者取得軟體的最大途徑,加上Android Market對於軟體審驗較為鬆散,因此大部分防護軟體都會針對由Android Market下載回來的軟體加以掃描,此時防護軟體會產生額外的耗電問題,這個測試項目中各家防毒軟體的差異並不大,平均而言,約需增加30%左右的耗電量才能完成Android Market軟體掃描。

 

內建Gmail程式是Android平台吸引使用者的原因之一,Google提供使用者容量充足的電子郵件儲存空間,加上精準的垃圾信過濾機制,使得Gmail一直深受使用者喜愛,在這個測試項目中,我們發送了一封附加惡意軟體的電子郵件至Gmail信箱,測試者在Android手機上使用內建的Gmail程式開啟郵件下載安裝惡意軟體,並同時量測耗電量,本測試項目中以TrendMicro的耗電表現最為出色,僅較未安裝防毒軟體增加11%的耗電量。

 

耗電量的最後一個測試項目,乃是透過Android內建瀏覽器下載網頁上的惡意軟體,以觀察防毒軟體在掃描瀏覽器下載所增加的耗電量,Lookout360Safe的測試結果與一般使用相等,為本項測試表現最為出色的軟體。

 

                                                        單位:毫安培(mA)

 6、各防毒軟體使用Android內建Gmail掃描附件時的耗電狀況

 

                                                        單位:毫安培(mA) 

 7、各防毒軟體掃描Android內建瀏覽器下載時的耗電狀況

                                 

測試結果二:防護能力

 

防護軟體的防護能力可以分為掃描引擎與病毒碼兩部分來討論,前者是驗證掃描引擎可以防護哪些惡意軟體的傳輸途徑,後者則是為了測試防護軟體的偵測力。

 

一、掃描引擎偵測 60%支援SD卡檔案掃描

 

掃描引擎必須要能針對不同的檔案安裝途徑進行掃描,才能夠提供完善保護,表4 4為透過不同途徑傳送一隻已知惡意程式所獲得的測試結果,從測試結果中可知目前絕大多數軟體已支援SD卡內的靜態檔案掃描,這項功能可以協助使用者更早期發現惡意軟體的存在,避免使用者不小心安裝惡意軟體,讓使用者受到更周延的保護,除了Lookout360SafeAegisLabAVG四套防護軟體外,其餘防護軟體皆支援SD卡內的靜態檔案掃描。

 

另外,10套防護軟體中,只有360Safe會要求擁有root權限,以便更進一步掃描或防堵其他惡意程式,root權限為作業系統的最高控制等級,目前國內販售的所有Android手機預設皆不提供root權限,使用者需要透過自行刷機才可啟用root權限,但刷機將會造成Android手機喪失保固等衍生問題,使用者可自行斟酌是否要進行刷機。

 

表四、防護軟體掃描引擎偵測能力

防護軟體名稱 SD卡檔案掃描 已安裝軟體掃描

Market

安裝掃描

Gmail

安裝掃描

Web

安裝掃描
NetQin Mobile Anti-Virus Yes(註1) Yes Yes Yes Yes
Trend Micro Mobile Security Yes Yes Yes Yes Yes
Norton Mobile Security Yes Yes Yes Yes Yes
Kapsersky Mobile Security Yes Yes Yes Yes Yes
Lookout Mobile Security No Yes Yes Yes Yes
360Safe Mobile Safe(2) No Yes No No No
Dr. Web Anti-virus Light Yes Yes(註3) Yes Yes Yes
AegisLab Anti-virus Free No Yes Yes Yes Yes
HAURI ViRobot Mobile Yes Yes Yes Yes Yes
AVG Anti-Virus Free for Android No Yes Yes Yes Yes

註1、無法提供有問題的檔案清單列表,但可顯示有問題的檔案數量並執行清除。

註2:安裝完成執行後會要求root權限。

註3:掃描完成後,會發生"未知錯誤、請發送報表",造成無法閱讀掃描結果的狀況。

 

二、病毒碼偵測力 Dr. Web / Kaspersky / TrendMicro最高

 

在病毒碼測試的部份,以網路上公開的樣本網站所提供的惡意軟體樣本進行測試(http://contagiodump.blogspot.com/2011/03/take-sample-leave-sample-mobile-malware.html),該網站蒐集各式移動裝置上的惡意程式樣本,原本還計劃納入國網中心所提供的樣本,但因其與該網站完全相同,因此僅使用該網站所提供的樣本進行測試。經過整理後,共找出38隻惡意程式樣本對Android平台有直接威脅,其中包含了AngryBird破解版等,在這38隻惡意程式樣本中,有4隻的軟體名稱及版本相同,但經過md5計算後發現是不同的檔案,因此在SD卡掃描時,將38隻樣本檔案全部放入SD卡進行掃描,而已安裝的軟體掃描部份,則採用未重複的34隻檔案樣本來進行掃描,測試結果如圖8所示,若數據小於0表示該軟體不支援這項功能。綜合表現看起來以Dr. WebKaspersky、及TrendMicro的偵測能力最高。

 

 8、惡意程式樣本測試結果

 

 

結論

 

隨著消費者行動上網的需求增加,資訊安全的主要戰場也隨之改變,從傳統windows作業系統擴展到各種不同的手持裝置作業系統上,市佔率快速成長的Android必將成為下一個駭客覬覦的主要目標,從去(2010)年中開始陸續有許多Android軟體被發現有惡意的行為,雖然目前尚未傳出有使用者因為這些惡意軟體而蒙受損失的消息,但保障個人資料安全已成為Android平台刻不容緩的一項議題,建議使用者除了安裝適當的防毒軟體以外,更應該養成良好的手機使用習慣,盡量選擇經過驗證的軟體,避免安裝來路不明的程式及瀏覽不明網站,以維護自身資料安全。

 

 

(本文作者現任職於NBL交大網路測試中心)