Android malwarescanner makkelijk te foppen

De malwarescanner in Jelly Bean 4.2 is een extra beveiligingslaag op Android zelf naast de bouncer die de apps op de Google Play store controleert. De bouncer controleert apps automatisch zodat een app binnen een uur in de app store kan verschijnen. Bij Apple worden apps ook handmatig gecontroleerd waardoor het aanzienlijk langer duurt voordat een app beschikbaar komt. Doordat Android het zonder die handmatige beveiliging moet doen, heeft Google een malwarescanner in de nieuwste versie van Android Jelly Bean (versie 4.2) ingevoerd die de gebruiker waarschuwt voor malware.

Beperkte scanmogelijkheden App Verification Service

Veel lijkt het niet te helpen als we de onderzoeksresultaten bekijken van de universiteit uit North Carolina. Aangezien apps op Android niet in staat zijn om andere apps compleet tegen het licht te houden, kan er ook geen grondige scan uitgevoerd worden zoals dat wel met antivirusprogramma’s op de pc kan.

In onderstaande grafiek staat de App Verification Service van Google afgezet tegen een tiental andere antiviruspakketten en scoort het beduidend minder. Waarschijnlijk zijn de tien andere antiviruspakketten pc-versies die dus meer scanmogelijkheden hebben.

© CIDimport

Android Jelly Bean-beveiliging makkelijk gefopt

Aangezien het volledig doorzoeken van apps op Android niet mogelijk is, wordt er in plaats daarvan in databases gezocht om te kijken of een app gemarkeerd staat als verdacht. Dit wordt gedaan op basis van de app-naam en een handtekening die gemaakt wordt op basis van de app, een zogenoemde SHA1-waarde die een samenvatting vormt van een app. Maar door iets aan de app te veranderen (wat soms zo klein kan zijn als een stukje tekst), krijgt de app al snel een nieuwe handtekening (want een andere samenvatting is het resultaat) waardoor de malwarescanner makkelijk te foppen is. Een uitgebreidere visie op de Android-beveiliging lees je op Androidworld.