Podstawy Bezpieczeństwa: Czy współczesne smartfony potrzebują antywirusa

dodał 18 marca 2021 o 12:06 w kategorii HowTo, Info  z tagami:
Podstawy Bezpieczeństwa: Czy współczesne smartfony potrzebują antywirusa

Wielu wzbrania się przed instalacją antywirusa na komórce, argumentując, że zanadto obciąża baterię. Inni traktują go jak zło konieczne, bo telefon wymaga przecież jakiejś ochrony. Kto ma rację, kto się myli? Dowiecie się z tego artykułu.

Podobnie jak w przypadku antywirusów dla systemu Windows, przeanalizowaliśmy wyniki testów paru niezależnych laboratoriów, które wzięły pod lupę rozwiązania różnych firm przeznaczone dla platformy Android (dlaczego nikt nie testuje aplikacji zwiększających bezpieczeństwo iPhone’ów, wyjaśniamy w dalszej części artykułu). W pierwszej kolejności zajrzeliśmy na stronę laboratorium AV-TEST, które od stycznia 2020 r. zdążyło przeprowadzić siedem testów obejmujących 22 aplikacje (chociaż część z nich uwzględniono tylko w kilku badaniach). Przygotowaliśmy tabelę pokazującą, jak w tych testach wypadło oprogramowanie bardziej i mniej znanych producentów – najlepsze wyniki oznaczyliśmy kolorem fioletowym i wyróżniliśmy antywirusy, które uzyskały maksymalną liczbę punktów. Klikając, można tabelę powiększyć:

Wyniki testów wykonanych przez AV-TEST. Źródło: opracowanie własne z3s

Aplikacje oceniano pod kątem ochrony (protection), wydajności (performance) i użyteczności (usability). Jak sami możecie zobaczyć, najlepiej sprawdziły się rozwiązania takich firm jak Bitdefender, G DATA, NortonLifeLock (dawniej Symantec) i Trend Micro. Najgorzej poradził sobie Google Play Protect, a mogłoby się wydawać, że program tworzony przez tę samą firmę co platforma, na której ma on działać, powinien znaleźć się w czołówce. Odwrotne wyniki wymagają dokładniejszego przyjrzenia się wykonanym testom.

Podstawy Bezpieczeństwa
Artykuł stanowi część nowego cyklu pod patronatem Aruba Cloud, czyli Podstawy Bezpieczeństwa. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż warto najpierw sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. W poprzednich odcinkach pokazywaliśmy, jak używać menedżerów haseł, włączyć dwuskładnikowe uwierzytelnianie, zadbać o bezpieczeństwo i prywatność w usługach Google i na Facebooku, odpowiednio skonfigurować bardziej i mniej popularne przeglądarki, a także dobrać do nich wtyczki. Sprawdziliśmy też, co oferuje Microsoft Defender i jak wypada w porównaniu z innymi antywirusami.

W zakresie wydajności Play Protect zebrał same szóstki, co oznacza, że nie obciążał zanadto baterii, nie spowalniał telefonu i nie przesyłał zbyt wielu danych w tle. Natomiast w zakresie użyteczności i ochrony w żadnym z testów nie udało mu się przekroczyć zera. Co poszło nie tak? Sprawdzając użyteczność testowanych rozwiązań, badacze zwracali uwagę na liczbę fałszywych alarmów generowanych podczas instalacji i korzystania z ok. 3 tys. legalnych aplikacji dostępnych w sklepie Google Play i na stronach zewnętrznych (w proporcji 2:1). Średnia dla całej branży wyniosła 1-2 chybione ostrzeżenia, podczas gdy Play Protect w niektórych miesiącach potrafił wyświetlić ich ponad 30 – stąd tak niska ocena. Testowanie ochrony obejmowało dwie fazy. Najpierw badano ochronę w czasie rzeczywistym, instalując na smartfonach złośliwe aplikacje zidentyfikowane od 2 do 24 godz. przed rozpoczęciem testów. Następnie wykonywano skanowanie na żądanie w celu wykrycia zagrożeń, które trafiły do obiegu w ciągu ostatnich czterech tygodni. Wszystkie niewykryte pliki uruchamiano, dając antywirusom jeszcze jedną szansę. Wyniki możecie zobaczyć poniżej – Google Play Protect na tle innych programów wypadł naprawdę źle. Jego skuteczność w zakresie ochrony przed znanymi zagrożeniami poprawiała się wprawdzie z badania na badanie, zawsze jednak była niższa od średniej w branży. Ochrona w czasie rzeczywistym zawiodła na całej linii.

Google Play Protect na tle innych antywirusów. Źródło: opracowanie własne z3s

Zanim spiszemy ten program na straty, sprawdźmy, jakiej wersji Androida użyto do przeprowadzenia wszystkich testów. Okazuje się, że wydanej w sierpniu 2017 r., czyli 8.0 (Oreo). Przypomnijmy, że od września 2020 r. dostępny jest już Android 11. Czy wybór przestarzałej platformy wpłynął na wyniki aplikacji Play Protect? Możemy się o tym przekonać, zaglądając do raportów z lat 2018-2020 opublikowanych przez AV-Comparatives. Pracownicy tego laboratorium, testując mobilne antywirusy, korzystali z najnowszych dostępnych wydań Androida. Badania realizowali w czerwcu bądź lipcu – w związku z tym w 2018 r. użyli wersji 8.1, w 2019 r. sięgnęli po 9.0, a w 2020 r. posłużyli się „dziesiątką”. Podobnie jak AV-TEST, oceniali rozwiązania różnych producentów pod kątem ochrony, liczby fałszywych alarmów i wydajności, a konkretnie zużycia baterii (udowadniając raz za razem, że wbrew obiegowym opiniom większość mobilnych antywirusów obciąża baterię w nikłym stopniu). Do badania, jak często generowane są błędy typu false positive, wykorzystywali ok. 500 popularnych w danej chwili aplikacji ze sklepów innych niż Google Play – wzięte pod lupę programy radziły sobie z ich rozpoznawaniem nad wyraz skutecznie, choć Play Protect wyraźnie odstawał od reszty, zwłaszcza w 2019 r. Szkodliwe oprogramowanie, które posłużyło do testowania ochrony, obejmowało od 2,6 do 3,6 tys. próbek zebranych przez AV-Comparatives kilka tygodni przed poszczególnymi badaniami (analitycy postanowili nie uwzględniać tzw. potencjalnie niechcianych aplikacji – ang. potentially unwanted applications, PUA). Najpierw wykonywano skanowanie na żądanie, następnie każda niewykryta aplikacja była instalowana i uruchamiana.

Wyniki testów wykonanych przez AV-Comparatives. Źródło: opracowanie własne z3s

Jak widać powyżej, najlepiej sprawdziły się rozwiązania Trend Micro i Bitdefendera, całkiem dobrze wypadło też oprogramowanie Kaspersky’ego i Aviry. Google Play Protect w 2018 r. wykrył zaledwie 51,8% zagrożeń, rok później jego skuteczność wzrosła do 82,3%, a w ostatnim badaniu osiągnęła 91,3% – nadal nie jest to wynik rewelacyjny, ale poprawę widać gołym okiem. Wiele wskazuje na to, że efektywność opracowanej przez Google aplikacji zależy od wersji platformy, na której się ją uruchamia (przypomnijmy, że AV-TEST w 2020 r. testował mobilne antywirusy na Androidzie 8, a AV-Comparatives wybrał do tego celu Androida 10 – wyniki mówią same za siebie). Wyjaśnienie wydaje się proste: z wersji na wersję tworzona przez Google platforma staje się bezpieczniejsza, rośnie też skuteczność zintegrowanych z nią narzędzi. Można przypuszczać, że podobny test wykonany na najnowszym Androidzie 11 przyniósłby jeszcze lepsze efekty. Sytuacja jest jednak bardziej skomplikowana.

Antywirusy na Androida z perspektywy eksperta

O to, czy współczesne smartfony potrzebują antywirusa i jak w ogóle działa tego typu oprogramowanie na Androidzie, zapytaliśmy Tomka Zielińskiego, twórcę bloga Informatyk Zakładowy. Jego odpowiedź publikujemy w całości:

Zacznijmy od tego, że pobrana ze sklepu Google Play aplikacja antywirusowa nie może… zwalczać wirusów. Pal licho, że definicja „wirusa” średnio pasuje do współczesnego wachlarza zagrożeń, problemem nie do przeskoczenia jest architektura systemu Android.

Jak działają antywirusy na komputerach PC? Za zgodą i wiedzą użytkownika podnoszą swoje uprawnienia do poziomu użytkownika systemowego (root, SYSTEM), by po pierwsze przeskanować zawartość pamięci RAM komputera, po drugie sprawdzić pod kątem znanych sygnatur wszystkie pliki. Aplikacja instalowana na komórce przez użytkownika nie może zrobić ani jednego, ani drugiego – ma dostęp wyłącznie do przydzielonego sobie obszaru pamięci RAM, może też czytać swoje własne pliki i część zasobów „wspólnych”, np. zdjęcia zrobione przez użytkownika.

Dodajmy, że Android, który w pierwszych wersjach dawał użytkownikom naprawdę dużą swobodę, w niemal każdej kolejnej edycji po kawałeczku odbiera wcześniejsze swobody. Pierwsze pod nóż trafiły programy  działające po cichu w tle (źródło problemów z baterią), potem coraz większym restrykcjom poddawany był dostęp do plików na karcie pamięci (redukcja ryzyka kradzieży danych), wkrótce aplikacje nie będą już mogły swobodnie sprawdzać, co jeszcze użytkownik zainstalował na swoim urządzeniu (źródło danych do profilowania).

Większość programów „antywirusowych” oferuje więc usługi backupowe, sieci VPN, lokalizowanie urządzenia, wyświetlanie uprawnień innych aplikacji czy usuwanie niepotrzebnych plików tymczasowych – wszystko, tylko nie detekcję wirusów. Mamy też wiele funkcji o wątpliwej wiarygodności, jak przedłużanie żywotności baterii, skanowanie Wi-Fi w poszukiwaniu zagrożeń (cokolwiek by to nie znaczyło) albo „identyfikację aplikacji, które wyłudzają pieniądze”.

Wydaje się, że moduły skanujące pliki pod kątem zagrożeń tak naprawdę mogą przydać się jedynie tym użytkownikom, którzy decydują się na instalację aplikacji z niezaufanych źródeł. To jedyna sytuacja, w której aplikacja antywirusowa na Androida może przeskanować kod wykonywalny innego programu, zanim zostanie on zainstalowany. Wszystkim pozostałym użytkownikom wystarczy Google Play Protect, czyli ochrona zintegrowana ze sklepem Play, odpowiedzialna m.in. za usunięcie z urządzeń użytkowników aplikacji zidentyfikowanych przez Google jako zagrożenie.

Przychylamy się do tej opinii. Przy okazji chcielibyśmy zwrócić uwagę na istnienie wielu aplikacji, które tylko udają mobilne antywirusy i nie pomogą nam w sytuacji zagrożenia (przy pobieraniu plików APK z niezaufanych stron) bądź same stanowią zagrożenie (zawierają złośliwy kod). W styczniu 2019 r. laboratorium AV-Comparatives wzięło pod lupę 250 programów zabezpieczających na Androida dostępnych w sklepie Google Play. Przetestowało je z wykorzystaniem 2 tys. szkodliwych próbek, pobieranych po kolei przy użyciu przeglądarki Chrome na smartfony, otwieranych za pomocą eksploratora plików, instalowanych i uruchamianych – na każdym etapie badane aplikacje miały wystarczająco dużo czasu na przeanalizowanie danej próbki i powiadomienie użytkownika o złośliwej aktywności. Tylko 51 testowanych rozwiązań poradziło sobie z wykryciem ponad 90% zagrożeń, wyniki kolejnych 29 aplikacji oscylowały w granicach 45-90%. Pozostałe programy, wykazujące skuteczność na poziomie poniżej 30%, zostały przez badaczy uznane za nieefektywne lub nawet niebezpieczne – do chwili publikacji raportu w marcu 2019 r. Google zdążył ze swego sklepu usunąć 32 z nich. Innymi słowy, cokolwiek instalujemy na Androidzie, warto uważać.

Co w kwestii bezpieczeństwa oferuje sam Android

Zacznijmy od wielokrotnie tu wspominanego rozwiązania Google Play Protect. Według producenta chroni ono zarówno przed zagrożeniami, którym udało się przedostać do sklepu Google Play, jak i pochodzącymi z innych źródeł. Jest domyślnie włączone, choć użytkownik może je zdezaktywować (czego nie polecamy). Sprawdza aplikacje w trakcie ich instalowania i okresowo skanuje urządzenie, mając możliwość automatycznego usuwania programów uznanych przez Google za szkodliwe. Ostrzega też przed zainstalowaniem aplikacji naruszających zasady dla deweloperów (np. wprowadzających użytkowników w błąd) oraz zaprojektowanych z myślą o przestarzałych wersjach platformy. Oprócz tego pozwala na wysyłanie do Google informacji o nieznanych, potencjalnie niebezpiecznych aplikacjach – należy w tym celu włączyć opcję „Popraw wykrywanie szkodliwych aplikacji”. Trzeba jednak pamiętać, że w takim przypadku producent Androida otrzyma również dane dotyczące połączeń sieciowych urządzenia, systemu operacyjnego i zainstalowanych na smartfonie programów – sami zadecydujcie, czy bardziej zależy wam na prywatności, czy na lepszej ochronie.

Google Play Protect na platformie Android 11

Nie jest to oczywiście jedyne zabezpieczenie przed zagrożeniami oferowane przez Google. Najnowszego Androida 11 firma wyposażyła w kilka nowych funkcji. Po pierwsze, skopiowała od Apple ideę jednorazowych uprawnień (ang. one-time permissions), co oznacza, że aplikacje nie dostają na stałe dostępu do mikrofonu, aparatu czy lokalizacji, tylko muszą o niego prosić przy każdej próbie skorzystania z tych narzędzi. Z perspektywy użytkownika nie jest to może wygodne, ale zmniejsza prawdopodobieństwo nieumyślnego przyznania niepotrzebnych zezwoleń. Google zaczął zresztą rozróżniać dostęp do danych lokalizacyjnych w trakcie aktywnego używania aplikacji oraz w tle – to drugie wymaga teraz dodatkowej zgody i wprowadzenia stosownej zmiany w ustawieniach. Na uwagę zasługuje także permissions auto-reset, czyli automatyczne pozbawianie uprawnień przyznanych aplikacjom, z których od dłuższego czasu nie korzystamy. Według twórców Androida większość posiadaczy smartfonów ma na nich zainstalowanych ponad 60 aplikacji, ale regularnie wchodzi w interakcję tylko z jedną trzecią. Tymczasem zapomniane, nieusunięte z systemu oprogramowanie może nie tylko zużywać zasoby sprzętowe, ale i uzyskiwać dostęp do danych w tle, a w przypadku niezałatanych luk ułatwiać przestępcom przejęcie kontroli nad urządzeniem. Nowo dodana funkcja ma temu zapobiec (w razie potrzeby użytkownik może zresztą przywrócić cofnięte uprawnienia).

Inną ważną zmianą w stosunku do poprzednich wersji Androida jest możliwość pobierania i instalowania krytycznych aktualizacji systemu pod postacią samodzielnych modułów dostępnych w sklepie Google Play. Zamiast polegać na producentach sprzętu, dostarczających poprawki często w sposób opieszały, użytkownicy sami mogą teraz zadbać o bezpieczeństwo. Warto też wspomnieć o funkcji scoped storage, czyli wymuszonym przechowywaniu danych w określonym zakresie. Chodzi o to, że aplikacje instalowane na starszych wersjach platformy, mając dostęp do całej pamięci urządzenia, mogły zaglądać do plików zapisanych także przez inne oprogramowanie. Pojawił się więc pomysł zapewnienia każdej aplikacji czegoś na kształt własnej piaskownicy (ang. sandbox), czyli wydzielonego obszaru, do którego będzie miała dostęp tylko ona. Korzystanie z zasobów współdzielonych, takich jak foldery z multimediami czy katalogi pobierania, wymagałoby uzyskania bezpośredniej zgody użytkownika. Ideę tę udało się częściowo wdrożyć już w Androidzie 10, a w wersji 11 bardziej ją dopracowano – co spowodowało, nawiasem mówiąc, że mobilne antywirusy stały się jeszcze mniej przydatne.

Dlaczego nie ma antywirusów na platformę iOS

Ani AV-TEST, ani AV-Comparatives nie testują rozwiązań antywirusowych dostosowanych do iPhone’ów i iPadów, Apple nie zezwala bowiem na umieszczanie tego typu aplikacji w swoim sklepie. Dokładniej mówiąc, obsługa App Store nie zatwierdza oprogramowania, które obiecuje rzeczy niewykonalne – a do takich należy przeskanowanie urządzenia w poszukiwaniu wirusów i innych zagrożeń. Na platformie iOS, podobnie jak na najnowszym Androidzie, wszystkie aplikacje zewnętrznych firm działają w piaskownicy, nie mają więc dostępu do danych zapisanych przez inne programy i nie mogą wprowadzać zmian w systemie. „Każda aplikacja ma własny, niepowtarzalny katalog domowy, w którym może przechowywać swoje pliki. Katalog ten jest losowo przydzielany podczas instalowania danej aplikacji” – czytamy na stronie pomocy technicznej Apple. Od aplikacji użytkownika odseparowane są także pliki i zasoby systemowe. To wyklucza poprawne działanie oprogramowania antywirusowego, które nie może wykryć podejrzanej aktywności ani zainterweniować, nie opuszczając swojej piaskownicy. Nie oznacza to, że w App Store nie znajdziemy aplikacji w stylu Avast Security & Privacy czy McAfee Mobile Security – zadanie tych i podobnych narzędzi sprowadza się jednak do wykrywania niebezpiecznych hotspotów Wi-Fi, oferowania usług VPN, bycia dodatkowym mechanizmem chroniącym przed kradzieżą, zabezpieczania zdjęć, blokowania złośliwych stron itd. Żadne plików nie skanuje.

Pojawia się pytanie, czy Apple nie popisuje się arogancją, twierdząc, że antywirus na iPhone’ach nie jest potrzebny. Uważni czytelnicy Weekendowej Lektury mogą pamiętać zeszłoroczne doniesienia o trojanie GravityRAT, który podszywał się pod legalne aplikacje ze sklepów App Store i Google Play. Wcześniej pojawiały się informacje także o innych szkodnikach na iOS, np. symulujących kliknięcia w reklamy lub naciągających na subskrypcje. Faktem jest jednak, że było ich nieporównywalnie mniej niż w przypadku Androida. Przed umieszczeniem jakiejkolwiek aplikacji w swoim sklepie Apple poddaje ją bowiem rygorystycznej analizie i w przypadku pozytywnej weryfikacji podpisuje stosownym certyfikatem. Użytkownicy iPhone’ów nie mogą instalować oprogramowania z innych źródeł niż App Store, chyba że przeprowadzą jailbreak, czyli proces usuwania ograniczeń narzuconych przez Apple (co wykracza poza temat tego artykułu). Firma stara się zresztą jak najszybciej unieszkodliwiać narzędzia, które to umożliwiają – stąd jednolity harmonogram aktualizacji dla wszystkich urządzeń, który pomaga je chronić również przed innymi lukami w zabezpieczeniach.

Podsumowanie

Przeciętny użytkownik, czytając artykuł w serwisie zajmującym się bezpieczeństwem, raczej nie oczekuje, że ktoś mu będzie odradzać zainstalowanie antywirusa. W przypadku nowoczesnych smartfonów taka rada ma jednak sens. Chociaż aplikacje wiodących producentów – wbrew obiegowym opiniom – nie obciążają zanadto baterii, to jednocześnie nie spełniają swojej podstawowej funkcji, tzn. nie chronią przez złośliwym oprogramowaniem. Nie pozwala im na to architektura systemów, na których są instalowane. Apple mówi o tym wprost od 2017 r., Google nabrał wody w usta, mimo że z wersji na wersję coraz bardziej ogranicza uprawnienia aplikacji na Androida. Wiele wskazuje na to, że lepiej zadbamy o swoje bezpieczeństwo, korzystając z najnowszych wersji mobilnych platform i regularnie wdrażając dostępne poprawki, niż zaopatrując się w narzędzia typu mobile security. Można oczywiście posługiwać się nimi z uwagi na funkcje dodatkowe (jak VPN czy lokalizacja urządzenia w przypadku kradzieży), trzeba być tylko tego świadomym. Jeśli ktoś często instaluje na Androidzie aplikacje z zewnętrznych źródeł, to dla pewności może oczywiście sięgnąć po antywirusa i przeskanować z jego pomocą pobrane pliki APK. W takim przypadku sugerujemy dokładniejsze zapoznanie się z testami niezależnych laboratoriów i wybranie programu, który został w nich uwzględniony. Jak już wspominaliśmy, nawet w oficjalnym sklepie Google można natrafić na fałszywe rozwiązania zabezpieczające.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.