Cuộc chiến chống virus trên máy tính đã trải qua lịch sử đầy chông gai. Dù đã đạt được những thành công nhất định, giới bảo mật vẫn phải chạy đua với thời gian để bắt kịp với các chủng virus mới. Việc mã độc có thể truy cập sâu vào hệ thống khiến các cuộc tấn công trở nên nguy hiểm hơn. Giờ đây, khi tin tặc nhận thấy sự phổ biến của Android, mọi thứ dần phô bày nhược điểm tương tự.
Phần lớn các chương trình chống virus dành cho Android vẫn còn “non trẻ”. Các nhà nghiên cứu tại Georgia Tech đã phân tích 58 công cụ phổ biến cho thấy nhiều trong số đó tương đối dễ bị đánh bại bởi thiếu các phương pháp tiếp cận hợp lý và đa dạng để phát hiện phần mềm độc hại. Nhóm nghiên cứu đã xây dựng một công cụ mang tên AVPass hoạt động để đưa malware vào hệ thống mà không bị chương trình chống virus phát hiện. Trong số 58 công cụ thử nghiệm của AVPass, chỉ có AhnLab và WhiteArmor đã ngăn chặn các cuộc tấn công.
Ông Max Wolotsky, nghiên cứu sinh tại Georgia Tech, thành viên của nhóm cho biết: “Chương trình chống virus cho nền tảng di động chỉ đang mới nhen nhóm tại một số công ty. Nhiều bản antivirus dường như lặp lại chính công nghệ trước đó. Chúng tôi luôn khuyến cáo khách hàng hãy chú tâm tới nhiều phương thức bảo mật hơn nữa thay vì chủ chăm chăm vào AV.”
Antivirus hiện tại sử dụng các kỹ thuật máy học để nghiên cứu lĩnh vực mã độc. Vì vậy, các nhà nghiên cứu đã dùng cách tiếp cận đó trong quá trình tạo ra AVPass nhằm đánh bại hệ thống phòng thủ của thiết bị. Dự án được giới thiệu tại Hội nghị Blackhat tại Las Vegas mới đây.
Để kiểm tra 58 chương trình chống virus trên Android, nhóm nghiên cứu đã sử dụng dịch vụ có tên VirusTotal nhằm xác định các liên kết và mẫu malware, từ đó đưa ra đánh giá tính hiệu quả cho từng ứng dụng. Dữ liệu từ VirusTotal đã giúp các nhà nghiên cứu có cái nhìn toàn cảnh về tính hiệu quả của các phần mềm chống mã độc dành cho di động hiện nay.
Trước đó, nhóm đã phát triển một tính năng cho AVPass có tên Imitation Mode, giúp “che chắn” để tránh các công cụ không thể phát hiện và diệt virus.
Chanel Jeon, một nhà nghiên cứu khác thuộc dự án cho biết: “Imitation Mode tạo ra để gây nhiễu về các mẫu malware thử nghiệm. Chúng tôi trích xuất các đặc tính của phần mềm độc hại và chèn chúng vào một ứng dụng, từ đó kiểm tra đặc tính hoặc sự kết hợp nào khiến mã độc bị lộ diện". Nhóm nghiên cứu đã làm việc với các mẫu thử phần mềm độc hại được lấy từ thư viện mã độc như VirusShare.com và DREBIN.
AVPass là một nguyên mẫu mã nguồn mở nằm trong dự án nghiên cứu về máy tính học sâu của Georgia Tech. Nhưng nó phần nào cho thấy bức tranh về vấn đề mã độc trên điện thoại di động
Các chuyên gia đánh giá, công cụ chống virus trên Android có điều kiện thuận lợi hơn so với máy tính. Mohammad Mannan, nhà nghiên cứu bảo mật thuộc Đại học Concordia, Montreal cho biết: “Phần mềm độc hại trên Android không nhiều như trên PC. Trong nhiều trường hợp, chúng chỉ là những ứng dụng giả mạo nên dễ bị phát hiện hơn.” Và Mannan nhấn mạnh rằng, ứng dụng chống virus trên Android không có đặc quyền như phần mềm trên máy tính cá nhân, điều này sẽ giảm bớt lo ngại về khả năng chúng dễ bị khai thác lỗ hổng bảo mật. “Mobile AV chạy hệt như một ứng dụng đặc quyền, nhưng chung quy thì nó cũngchỉ là ứng dụng mà thôi, không phải một phần của hệ điều hành hoặc kernel”, ông nói.
Tuy nhiên, lợi thế đó dần đang bị phung phí bởi đội ngũ phát triển AV di động còn non kém. Nhóm AVPass nói rằng, các nhà phát triển công cụ chống virus cho Android cần tập trung xây dựng sản phẩm đủ mạnh, cập nhất nhiều chủng mã độc hơn nữa. Bởi hệ thống hiện nay tỏ ra dễ tổn thương hơn trước sức tấn công ngày càng gia tăng.
Theo GenK