Bản chất mã nguồn mở của hệ điều hành Android mang lại cho người dùng sự tiện nghi bậc nhất nhưng đồng thời cũng mang tới nỗi lo thường trực về malware nói chung và bảo mật nói riêng. Tới khi nào thì Android mới “sạch” được như iOS?
Đối với thế giới máy tính để bàn chạy Windows, Antivirus là một mớ hỗn độn. Xét trên mặt bằng chung, phần mềm diệt virus vẫn có những tác dụng nhất định, nhưng chúng vẫn phải liên tục chạy theo hòng bắt kịp với tốc độ tiến hóa chóng mặt của các loại virus cũng như các mối đe dọa an ninh mạng khác. Giờ đây, khi antivirus bắt đầu trở nên phổ biến trên nền tảng di động Android, chúng ta lại được chứng kiến một vết xe đổ tương tự.
Một nguyên nhân then chốt dẫn tới sự yếu kém của bảo mật Android bắt nguồn từ nguồn cung các phần mềm antivirus non nớt . Các nhà nghiên cứu tại Georgia Tech đã phân tích 58 lựa chọn ứng dụng bảo mật trên Android và tìm thấy rất nhiều ứng dụng trong số đó quá dễ bị qua mặt, thường bởi vì chúng không có hướng tiếp cận đúng đắn với yêu cầu về phát hiện malware. Đặt mình vào địa vị một kẻ tấn công mạng, các nhà nghiên cứu đã xây dựng một công cụ có tên AVPass có khả năng tuồn malware vào hệ thống mà không bị phần mềm phát hiện. Kết quả là, trên tổng số 58 chương trình được thử nghiệm, chỉ 2 giải pháp từ AhnLab và WhiteArmor liên tục ngăn chặn thành công các đợt tấn công từ AVPass.
Max Wolotsky, một sinh viên đang theo học bằng tiến sĩ tại Georgia Tech tham gia trong cuộc nghiên cứu cho biết: “Antivirus trên nền tảng điện thoại thực sự chỉ là sự khởi đầu của một số công ty – rất nhiều phần mềm chống virus trên Android thậm chí là sản phẩm đầu tay của họ. Chúng tôi luôn luôn cảnh báo người dùng rằng họ cần phải để tâm nhiều hơn là chỉ sử dụng một AV bất kỳ. Bạn cần phải cảnh giác”.
Nhiều phần mềm diệt virus hiện đại sử dụng các kỹ thuật machine-learning để tiến hóa và thích ứng với các loại malware. Vì vậy trong quá trình phát triển AVPass, các nhà nghiên cứu đã bắt đầu bằng việc phát triển nhiều phương pháp đánh bại các thuật toán phòng vệ mà họ có thể truy cập được (giống các thuật toán được tạo ra cho các nghiên cứu học thuật và dự án nguồn mở khác trên mạng) và sau đó sử dụng những chiến thuật này làm nền tảng để phát triển các cuộc tấn công nhằm vào các phần mềm antivirus riêng – những sản phẩm không cho phép bạn xem mã nguồn vận hành của chúng.
Ra vào tự do
Để kiểm tra tất cả 58 chương trình chống virus của Android và tìm ra cách vượt tường hiệu quả với từng phần mềm, các nhà nghiên cứu đã sử dụng một dịch vụ tên là VirusTotal , có khả năng xác định đường dẫn và mẫu thử malware bằng cách quét qua chúng trên một hệ thống được trang bị hàng tá công cụ khác nhau, sau đó trả về kết quả do từng công cụ tìm được.
Bằng cách truy vấn nhiều đối tượng malware khác nhau với VirusTotal để xem công cụ nào đánh dấu mẫu malware nào, các nhà nghiên cứu có thể vẽ nên được một bức tranh tổng thề về phương thức nhận diện được sử dụng trên từng phần mềm antivirus. VirusTotal sau đó sẽ giới hạn nhóm này xuống còn dưới 300 truy vấn trên một mẫu malware, nhưng theo các nhà nghiên cứu chỉ con số nhỏ bé này thôi là quá đủ để thu thập dữ liệu về cách các giải pháp antivirus nhận diện malware.
Trước khi sử dụng VirusTotal, nhóm đã phát triển một chức năng trên AVPass có tên Imitation Mode (Chế độ Mô phỏng), cho phép che chắn mẫu malware thử nghiệm trong quá trình quét virus của các phần mềm, từ đó giúp mẫu thử trải qua quá trình quét trót lọt mà không bị phát hiện cũng như liệt vào danh sách đen. Một nhà nghiên cứu khác làm việc cho dự án, Chanil Jeon cho biết: “Chúng tôi đã thực hiện trích xuất riêng biệt một số tính năng của malware và lồng chúng vào một ứng dụng rỗng để thử nghiệm xem tính năng nào hay sự kết hợp nào là quan trọng cho việc phát hiện malware”. Cả đội đã làm việc với các mẫu malware phổ biến lấy từ các thư viện malware như VirusShare.com hay DREBIN.
AVPass là một mẫu thử mã nguồn mở, một phần trong nghiên cứu của Georgia Tech về thuật toán machine-learning cũng như cách mà chúng có thể được thao túng và khai thác. Nhưng AVPass cũng có thể được dùng để tham chiếu khi xét về quá trình tiến hóa của công nghệ phòng vệ di động.
Chặng đường dài để phấn đấu
Niềm an ủi cũng như động lực để phấn đấu cho Android lúc này, là các công cụ chống virus trên nền tảng di động này “nhàn hạ” hơn rất nhiều những đồng nghiệp của mình trên PC, ít nhất là tại thời điểm này. Mohammad Mannan, một nhà nghiên cứu bảo mật tại Đại học Concordia của Montreal cho biết: “Malware Android không phức tạp bằng một phần của malware PC, chúng hầu hết chỉ là những app tự động quảng cáo, và rất dễ phát hiện”.
Mannan lưu ý ràng mặc dù antivirus trên Android hoạt động rất linh hoạt nhờ bản chất mã nguồn mở của nền tảng di động này, nhưng dù sao chúng vẫn chỉ là một ứng dụng và không phải một phần của hệ điều hành cũng như kernel.
Hiện giờ, những thế mạnh tiềm năng của antivirus trên Android dường như đang bị che mờ bởi sự non trẻ của thị trường ứng dụng bảo mật. Đội ngũ AVPass cho rằng các nhà phát triển antivirus của Android cần lập trình giải pháp của mình sao cho có thể phát hiện được nhiều loại malware cùng lúc. Sau cùng thì… lẻn qua 1 người canh gác dù sao cũng dễ hơn lẻn qua 10 người.
