数日前、私はESETSecurityDaysというセキュリティ会議(security conference)に参加していました。興味深いセッションがかなりあり、情報セキュリティ(information security)で働く賢い人々にたくさん会いました。そのうちの1人は、ESETの(ESET)シニアリサーチフェロー(Senior Research Fellow)であるニックフィッツジェラルド(Nick FitzGerald)です。彼はAndroidエコシステムのセキュリティを担当しており、 (Android ecosystem)Androidデバイスのマルウェアとセキュリティ(malware and security)に関するインタビューに彼をゲストとして迎えることができて幸運でした。彼は多くの興味深いことを言っているので、このインタビューを読む必要があります。
ニックフィッツジェラルドは誰ですか?
インタビューに入る前に、ニック・フィッツジェラルド(Nick FitzGerald)について少しお話したいと思います。彼は非常に個人的な人物であり、インターネット上で彼に関する情報を見つけることはほとんどできません。現在、彼はESET Australiaで(ESET Australia)情報セキュリティ(information security)を担当しており、主にAndroidエコシステム(Android ecosystem)に焦点を当てています。Nickは、 (Nick)VB100認定(VB100 certification)の方法論を確立し、VirusBulletinで最初のVB100テストを実行した人物の(Virus Bulletin)1人(VB100)です。ESETでの仕事に(job at ESET)加えて、彼は引き続きVirusBulletinの諮問委員会のメンバーとして働いています。
彼に会ったとき、私は彼の親しみやすさと開放性(friendliness and openness)をとても楽しんだ。彼は会議中にたくさんの興味深い情報を共有し、彼と少し食事をしている間、私は私たちの会話と彼のユーモアのセンスをとても楽しんだ。彼に会え(pleasure meeting)てうれしく思いました。彼がこのインタビューでゲストとして受け入れられたことをとてもうれしく思います。
今日Androidユーザーを標的とする最も一般的なタイプのマルウェアは何ですか?
テレメトリ共有オプションを有効にしたインストールベースのデータから取得した検出テレメトリ(detection telemetry)データから、検出の最大の割合は、潜在的に不要なアプリケーション(Potentially Unwanted Applications)(またはPUA )と呼ばれる一般的なクラスのものです。すべてのお客様がPUA(PUAs)を検出することを選択しているわけではありません。これはインストール時のオプションであり、デフォルト設定はありません。お客様はご自身で選択する必要があります。PUA(PUAs)は通常、怪しげな手法を使用して結果を達成するアプリですが、明らかに悪意はありませんが(顧客が選択できない場合、製品によって完全にブロックされます)、経験上、多くの顧客はデバイスでの実行を望んでいません。
PUA(PUAs)の後、実際のマルウェア検出を見ると、今年顧客のデバイスでブロックされたAndroidマルウェア(Android malware)の最も一般的なタイプは、 「ドロッパー」です。これらは通常、正規の(通常は非常に無意味ですが)アプリと(app and something)悪意のあるもののバンドルです。通常、悪意のあるコンポーネントは、アプリの初期インストール後しばらくの間、インストールまたは有効化されません。これはAndroidマルウェア(Android malware)の分野での比較的最近の開発ですが、マルウェア作成者の間で急速に人気が高まっています。このようなドロッパーによってインストールされるアプリは何でもかまいませんが、現時点ではPUA広告(PUA advertising)アプリが最も一般的なペイロードのようです。
デバイスがマルウェアに感染した場合にAndroid(Android)ユーザーに起こりうる最も厄介なことは何ですか?
私はこれが起こっていることに気づいていませんが、理論的には、デバイスが意図的または意図せずに「ブリック」される可能性があります。それが、たとえば、最も親密な秘密(および写真)をすべて盗まれてWebに投稿されたり、困惑したり身代金を要求したりするために使用されるよりも良いか悪いかは、あなたが誰であり、何を維持しているかによって異なります。 、またはスマートフォンからアクセスできます。
実際のAndroidマルウェア(Android malware)を見ると、加害者に知られていないランダムなPINロック画面を設定できる(PIN lock)LockerPinファミリーは非常に厄介です。これは、このデバイスロックペイロードからの回復を可能にする条件が、通常のマルウェアではほとんど見られないためです。デバイス。
あなたの見解では、 Androidエコシステム(Android ecosystem)のセキュリティに関する主な弱点はどれですか?
モバイル分野での主要な競合相手であるiOSと比較すると、Androidはややオープンであり、開発者とユーザーの柔軟性が向上しています。これはユーザーに利益をもたらす可能性がありますが、悪意のあるアクティビティがAndroid(Android)ユーザーに向けられやすくなることも意味します。たとえば、明らかに悪意のあるアプリが(apps get)AppleよりもGoogleの公式アプリストア(app store)に侵入することが多くなっています。さらに(Further)、Googleは一般的に(Google)Androidプラットフォーム(Android platform)のセキュリティ製品の可能な価値についてかなり懐疑的です、そのような製品をよりよくサポートするための高度な機能を提供していません。これは、Androidオペレーティング(Android operating)システムの主要なアーキテクチャ上の弱点です。
Androidプラットフォーム(Android platform)とその構築方法を見ると、 Androidセキュリティ(Android security)製品が保護の観点からユーザーにできないことのトップはどれですか?
システムフックまたは公式のセキュリティAPI(APIs)がないということは、適切なオンアクセススキャンを実行できないことを意味します。現在のところ、ウイルススキャナーは、(virus scanner)インストーラーパッケージ(installer package)がデバイスにダウンロードされたときと、アプリがインストールされたときにアプリをチェックすることに限定されています。Googleは、検証済みのセキュリティアプリ(security apps)をより高い権限でインストールすることを許可できますが、インストールしないことを選択しました。そのため、たとえばWindowsなどの他のオペレーティングシステムとは異なり、 Androidセキュリティ(Android security)アプリは、他のアプリと同じ権限レベル(privilege level)で実行される別のアプリです。同様に懸念されるのは、デバイス管理者です(Device Administrator)特権はユーザーの要求に応じて提供されます。それらを無効にすることはできますが、同じように簡単に無効にする可能性があります。
ESET Mobile Security&AntivirusなどのAndroid向け(Android)セキュリティ製品(security product)はどのようにユーザーを保護しますか?
当社のAndroidセキュリティ製品(Android security products)は、いくつかの形式の保護を提供します。悪意のあるコードと(オプションで)ウイルス対策機能の(antivirus functionality)PUA検出(PUA detection)ケア、ESETLiveGrid®を利用した悪意のあるWebサイトのブロック、デバイスの場所(device location)と盗難防止機能、およびシステム診断があり(functionality and system diagnostics)ます。
編集者注:(Editor's note:) PUAは、望ましくない可能性のあるアプリケーション(Application)を意味します。一般的なPUA(Generic PUA)検出は、新規および更新された潜在的に不要なアプリケーション(Potentially Unwanted Applications)のタイムリーな検出を提供します。
デバイスでセキュリティ製品(security product)を使用する以外に、Androidユーザーに対するセキュリティに関する最も重要な推奨事項はどれですか。
公式のPlayストア(Play Store)(世界の特定の地域へのアドバイスとしてはひどいです!)に固執し、真正なセキュリティまたはシステム管理アプリ以外のものに(security or system administration app)デバイス管理者(Device Administrator)特権を付与することに非常に注意してください。
Androidのマルウェア、(Android)セキュリティ、プライバシー(security and privacy)についてどう思いますか?
ニック(Nick)の視点を読んだので、あなたの視点を共有していただきたいと思います。Android用(Android)のセキュリティ製品が必要だと思いますか?スマートフォンやタブレットで使用していますか(Are)?Android用(Android)のマルウェアに対処しましたか(Did)?また、何が起こりましたか?
"Stick to the Google Play store!" says renowned information security expert at ESET
A couple of days ago, I was at a security confеrence called ESET Security Days. Τhere were quite a few interesting sessions and I've met quite a lоt of smart people who work in information security. One of them is Nick FitzGerald, Senior Research Fellow at ESET. Hе takes care of security in the Android ecosystem and we were lucky to have him as a gυest in an interview about mаlware and secυrity on Android devices. He h ad many іnterеsting things to say and you shoυld read this interview:
Who is Nick FitzGerald?
Before we go into the interview, I would like to talk a bit about Nick FitzGerald. He is a very private person and you can hardly find any information about him on the internet. Today he is taking care of information security at ESET Australia, focusing mostly on the Android ecosystem. Nick is one of the people who established the methodology for VB100 certification and ran the first VB100 tests at Virus Bulletin. Alongside his job at ESET , he still works with Virus Bulletin as a member of its advisory board.
When I met him, I very much enjoyed his friendliness and openness. He shared lots of interesting information during the conference and, while dining with him for a bit, I very much enjoyed our conversations and his sense of humor. It was a pleasure meeting him and I am very happy that he accepted to be a guest in this interview.
What is the most common type of malware that targets Android users today?
From the detection telemetry data we get back from those in our installed base who have enabled the telemetry sharing option, the greatest proportion of detections is the general class of things we call Potentially Unwanted Applications (or PUA). Not all of our customers choose to have PUAs detected – it is an install-time option and there is no default setting; the customer must make their own choice. PUAs are typically apps that use shady techniques to achieve results that, while not overtly malicious (which would be outright blocked by our product without the customer having any choice), experience shows us many customers do not wish to have run on their devices.
After PUAs, and looking at real malware detections, the most common types of Android malware we have seen blocked on customer devices this year are "droppers". These are typically a bundle of a legitimate (although usually quite inane) app and something malicious. Commonly the malicious component is not installed or enabled until sometime after the initial app installation. This is a relatively recent development in the Android malware arena but has rapidly become quite popular with malware writers. The apps installed by such droppers can be anything, but it seems at the moment that PUA advertising apps are the most common payloads.
What is the nastiest thing that can happen to Android users if their devices get infected with malware?
I'm not aware of this happening, but in theory the device could be "bricked", either deliberately or unintentionally. Whether that is better or worse than, say, having all your most intimate secrets (and photographs) stolen and possibly posted to the web or otherwise used in an attempt to embarrass or ransom you, may depend on who you are and what you keep on, or can access from, your smartphone.
Looking at actual Android malware, the LockerPin family, which can set a random PIN lock screen that is not known to the perpetrators is very nasty, as the conditions that could allow recovery from this device-locking payload will almost never be found on a typical device.
In your view, which are the major weaknesses the Android ecosystem has in terms of security?
Compared to its main competitor in the mobile arena, iOS, Android is somewhat more open, allowing developers and users greater flexibility. That may result in benefits to the user but it also means that malicious activity is more easily directed to Android users. There have, for example, been many more overtly malicious apps get into Google's official app store than into Apple's. Further, Google is generally quite skeptical about the possible value of security products for the Android platform, so does not provide advanced capabilities to better support such products. This is a major architectural weakness in the Android operating system.
When looking at the Android platform and how it is built, which are the top things an Android security product can't do for users in terms of protection?
The lack of system hooks or official security APIs means that proper on-access scanning cannot be performed. For now, a virus scanner is limited to checking an app when its installer package is downloaded to the device and again when the app is installed. Google could allow verified security apps to install with higher privileges but has chosen not to, so unlike on other operating systems, like Windows for example, your Android security app is just another app running at the same privilege level as any other. Equally concerning is that the Device Administrator privilege is doled out at the user's behest. We can disable them, but they are quite likely to just as easily disable us.
How does a security product for Android, like ESET Mobile Security & Antivirus protect its users?
Our Android security products offer several forms of protection. There is malicious code and (optionally) PUA detection care of the antivirus functionality, malicious website blocking utilizing the ESET Live Grid®, device location and anti-theft functionality and system diagnostics.
Editor's note: PUA means Potentially Unwanted Application. Generic PUA detections provide you with timely detection of new and updated Potentially Unwanted Applications.
Which are your top security recommendations for Android users, other than using a security product on their devices?
Stick with the official Play Store (that kind of sucks as advice for certain regions of the world!) and be very careful about granting the Device Administrator privilege to anything but a bona fide security or system administration app.
What do you think about malware, security and privacy on Android?
Now that you have read Nick's perspective, I would like you to share yours. Do you think that you need security products for Android? Are you using one on your smartphones and tablets? Did you deal with malware for Android and what happen ed?