Androidscanner in Jelly Bean is blind voor malware

De verificatietool voor apps die standaard in Android 4.2 zit ingebouwd, kan maar liefst 85 procent van de gekende malware niet detecteren.

De Google Play Store is al langer voorzien van Google Bouncer, een scanner die de appwinkel controleert op schadelijke apps die malware bevatten. Gebruikers zijn echter niet verplicht om hun apps via dit officiële kanaal te installeren.

Om apps van andere bronnen te kunnen controleren, heeft Google een verificatietool voor apps ingebakken in Android Jelly Bean (4.2). Die laat de gebruiker toe om informatie over de app naar Google te sturen, om te controleren of de applicatie geen malware bevat.

[related_article id=”158662″]

Xuxian Jiang, een onderzoeker op het departement computerwetenschappen van de North Carolina State University, heeft vastgesteld dat die verificatietool slechts 15 procent van de gekende malware kan detecteren, en de andere 85 procent gewoon aan zich voorbij laat gaan.

Android Malware Genome Project
Jiang is één van de bezielers van het Android Malware Genome Project, dat de aard van Androidmalware in kaart probeert te brengen. Momenteel werden al zo"n 1.260 bedreigingen gecatalogeerd. Het zijn deze bedreigingen die de onderzoeker langs de verificatietool heeft laten passeren. Bij slechts 193 applicaties ging de alarmbel rinkelen.

Dat is vooral opmerkelijk omdat de gegevens van het Android Malware Genome Project door iedereen kunnen worden aangevraagd, en Google één van de bedrijven is die dit reeds deed. Volgens Jiang schort er dan ook iets aan de manier waarop de verificatietool de apps scant.

“De verificatietool gebruikt voornamelijk de naam en de SHA1-waarde van een applicatie om te bepalen of die mogelijk schadelijk is. Dat mechanisme kan gemakkelijk omzeild worden. Om effectiever te zijn, moet dus meer informatie van de app worden opgevraagd,” aldus Xuxian Jiang.