Adevărat sau fals – aceasta este întrebarea


Un interviu cu Lukáš Štefanko de la ESET despre linia subțire dintre ceea ce se poate numi "un app sau o aplicație de securitate  pentru smartphone-uri" și ceea ce se poate numi o aplicație falsă.

Analiza ESET a aplicațiilor shady care se pretind a fi de securitate - sau " soluții antivirus" - aplicațiile descoperite pe Google Play au lăsat câteva întrebări fără răspuns. Lukáš Štefanko, care a făcut cercetarea, vorbește despre consecințele acestora la o scară mai largă.

În articolul dvs., descrieți aplicațiile îndoielnice de acest tip ca fiind shady, deghizate sub forma unui software de securitate. Suntem obișnuiți să numim astfel de aplicații ca fiind false. Ce a determinat schimbarea apelativului atunci când descrieți aplicațiile în cauză?

În primul rând, niciuna dintre aceste aplicații nu merită să fie numită o aplicație de securitate. Funcționalitatea lor este aproape zero - și, având în vedere falsurile pozitive pe care le generează aceste aplicații și, de asemenea, faptul că ele creează un fals sentiment de securitate în cazul victimelor, efectul lor net de securitate ajunge să fie unul negativ.

Cu toate acestea, ele conțin funcții care pot fi etichetate ca având intenții către o funcționalitate de securitate - dacă nu ar fi atât de primitive sau atât de prost implementate sau ambele. În opinia mea, aceste caracteristici nu au fost concepute în jurul ideii de securitate. În mod clar, scopul autorilor acestor aplicații este să ne împiedice să le etichetăm drept aplicații false. Și, mai important, aceștia evită astfel eliminarea rapidă a acestor aplicații de pe Google Play.

Eforturile lor au fost răsplătite doar parțial. Echipa de securitate Google Play nu a fost la fel de rapidă ca de obicei în ceea ce privește  eliminarea acestor aplicații din store - cu toate acestea, niciuna dintre aceste aplicații nu mai este disponibilă pentru descărcare.

Poate că există ceva în cazul acestor aplicații pe care echipa de securitate Google nu îl consideră ca fiind primitiv sau prost implementat.

Am cercetat aplicațiile destul de bine și sunt destul de sigur că niciun expert de securitate rezonabil nu le-ar putea considera utile în niciun fel.

În opinia mea, este vorba mai degrabă de capacitatea și prioritățile din partea Google. Pe de o parte, aceste aplicații dubioase înșală în mod clar utilizatorii - numele și descrierile lor promit securitate, dar tot ce fac este să difuzeze anunțuri. Pe de altă parte, aplicațiile uneori chiar periculoase reușesc să treacă de apărarea Google și sunt postate pe Google Play înainte de a fi eliminate pe baza naturii lor reale.

În ceea ce privește capacitățile de securitate, aceste aplicații dubioase simulează în principal o listă whitelist și blacklist. Deși nu există nimic în neregulă cu aceste tehnici, în principiu, efectul lor în acest caz este egal cu zero. Cele câteva nume de pachete din liste puse în blacklist stau acolo pentru totdeauna și, mai important, nu pot fi adăugate elemente noi. Aplicațiile nu au niciun mecanism de actualizare, ceea ce înseamnă că nu pot detecta noi amenințări.

Vă puteți imagina o soluție de securitate funcțională care este complet statică, fără a avea acces la cele mai recente informații despre amenințări?

Aceasta este exact ceea ce producătorii de securitate de ultimă generație pretind ca fiind cel mai mare avantaj în fața furnizorilor stabili de aplicații de securitate.

Acele așteptări de marketing exagerate construite de către vânzătorilor de soluții de securitate post-adevăr, așa cum le numim noi, reprezintă un alt subiect care merită abordat. Chiar și ei trebuie să își actualizeze modelele din când în când.

Ceea ce este important de menționat cu privire la aplicațiile dubioase pe care le discutăm este că se bazează pe listele primitive care tranșează ceea ce este bun de ceea ce este rău. Acestea conțin zeci de articole, comparativ cu sute sau chiar mii, așa cum este comun să considerăm că marchează furnizorii de produse reale de securitate - marcaje identificate cu motoare de scanare reale. Persistă faptul ca ele nu pot fi actualizate, în timp ce furnizorii de securitate adevărați își actualizează bazele de date de mai multe ori pe zi - fără a  mai menționa securitatea bazată pe cloud care funcționează în timp aproape real, o tehnică oferită de majoritatea furnizorilor de securitate adevărați.

Ca atare aceste aplicații îndoielnice nu au un beneficiu real pentru utilizatorii smartphone-urilor și tabletelor Android și ar trebui evitate.

În schimb, dacă utilizați o soluție de securitate mobilă cu reputație, alegeți o soluție care să funcționeze bine în teste independente. De exemplu, AV-Comparatives, o organizație de testare respectabilă, și-a publicat recent raportul privind securitatea dispozitivelor mobile.

Lasa un comentariu