用戶只是想安裝卡車或者汽車類駕駛的游戲，誰能想到這些軟件竟然都是惡意軟件? IT 安全公司 ESET 的安全研究員 Lukas Stefanko19日在推特上發(fā)

“用戶只是想安裝卡車或者汽車類駕駛的游戲，誰能想到這些軟件竟然都是惡意軟件? ”

IT 安全公司 ESET 的安全研究員 Lukas Stefanko19日在推特上發(fā)布了推文，稱他在 Google Play 上發(fā)現(xiàn)了惡意應(yīng)用，在 Google Play 將下架之前，他所說的游戲安裝次數(shù)總計超過 58 萬次。

出問題的游戲程序共有 13 款，都來自一個域名在伊斯坦布爾的應(yīng)用開發(fā)者名下。用戶以為自己在下載游戲，但點開后程序就會發(fā)現(xiàn)它莫名其妙自動崩潰。每當(dāng)設(shè)備開機(jī)，惡意軟件還會自動啟動，“完全訪問” 其網(wǎng)絡(luò)流量，給用戶帶來泄露隱私的風(fēng)險。

同時有些應(yīng)用會自動隱藏圖標(biāo)，讓人無從找回卸載，但實際上它還在悄悄運(yùn)行。

13 款游戲軟件。圖片來自 Lukas Stefanko 的Twitter截圖 。

Google 發(fā)言人 Scott Westover 稱這些應(yīng)用違法了 Google Play 的規(guī)則，他們已經(jīng)下架所有 13 款游戲。

Google Play 去年刪除了多達(dá) 70 萬個惡意應(yīng)用程序，比較嚴(yán)重的一起是，安全研究人員 Dexter Genius 發(fā)現(xiàn)黑客利用 Google Play 商店作為惡意軟件存儲倉庫、上架冒牌的 WhatsApp 應(yīng)用，在消息發(fā)布之前已有超過 100 萬的安卓用戶下載使用。

相比于封閉的 iOS，Android 開放體系安全性一直受到質(zhì)疑，Google 也在改進(jìn)篩查機(jī)制和技術(shù)。自 Android 4.2 開始，Google 就在所有設(shè)備的 Google Play 中集成了 Verify Apps 解決方案，以此來檢測潛在的惡意軟件(Potential Harmful Apps)，一旦檢測到，Verify Apps 就會警告用戶，提醒他們卸載軟件。

但還是有應(yīng)用可以繞過 Verify Apps 的檢測。2017 年 1 月，Google 公布了最新算法，在 Verify Apps 失效的情況下也能檢測出惡意軟件。如果一臺設(shè)備的 Verify Apps 停止工作，那么這臺設(shè)備就會被認(rèn)為是 “死亡或者不安全”(Dead or Insecure，DOI)。在這些設(shè)備中，如果某個應(yīng)用出現(xiàn)的概率超過某個上限，那么這個應(yīng)用就被認(rèn)為是 DOI 應(yīng)用。

Google 的監(jiān)測算法。圖片來自 Engadget

Google 表示，相較 2016 年，2017 年攔截惡意軟件的數(shù)量提升了 70%。他們還致力于改進(jìn)上架前的審核機(jī)制，說含有 “惡意內(nèi)容” 的軟件中有 99% 都在安裝之前被清理掉了。

不過漏洞還是存在，今年 5 月，美國軟件公司Symantec 就發(fā)現(xiàn)有 7 個曾經(jīng)被下架的惡意軟件，只靠簡單地更換開發(fā)者和 App 名字，就能重新在 Google Play 上架。這些惡意軟件將自己偽裝成谷歌產(chǎn)品的圖標(biāo)來增加真實性，或是延遲進(jìn)行惡意攻擊的時間(例如安裝后 4 小時才生效)，從而爭取能更長時間留在手機(jī)里。

蘋果的 App Store 審核更嚴(yán)格。每一個軟件開發(fā)商也會有蘋果提供的代碼簽名證書，以確認(rèn)開發(fā)者的身份、保證代碼在簽名后不會被惡意篡改。

iOS 采用沙盒機(jī)制，使得每個程序之間的文件夾不能相互直接訪問，應(yīng)用程序若想從外部接收或向外部請求數(shù)據(jù)，必須要經(jīng)過權(quán)限認(rèn)證，否則無法獲取數(shù)據(jù);蘋果還會定期更新 iOS 系統(tǒng)，使用戶能獲得最新安全機(jī)制的保護(hù)，以阻止舊的潛在惡意軟件感染設(shè)備。

不過 iOS 也無法完全杜絕惡意應(yīng)用。2016 年，還有一款叫做 AceDeceiver 的軟件，利用蘋果 FairPlay DRM(數(shù)字版權(quán)管理)保護(hù)機(jī)制漏洞在 iOS 設(shè)備上安裝惡意軟件，不論手機(jī)是否是越獄設(shè)備。

更難管的應(yīng)用是知識產(chǎn)權(quán)侵犯。2017 年底 PC 游戲 Cuphead(茶杯頭大冒險)在 iOS 上出現(xiàn)了一個冒名頂替的同名手游，開發(fā)者名稱也一字不差，甚至還有官網(wǎng)鏈接。按照蘋果的審核指南，開發(fā)者提交的材料中不得包含受保護(hù)的素材，比如商標(biāo)、出版作品、音視頻資料等等。但這套機(jī)制更有效的部分可能是事后處理，而不是審核本身，審核工作還是高度依賴員工的判斷，給審核造成了巨大的麻煩。

關(guān)鍵詞： Google Play 游戲 惡意軟件