ProHoster > блог > адміністраванне > Мабільныя антывірусы не працуюць

Мабільныя антывірусы не працуюць

Мабільныя антывірусы не працуюць
TL, д-р калі на вашых карпаратыўных мабільных прыладах патрэбен антывірус, значыць вы робіце ўсё няправільна і антывірус вам не дапаможа.

Гэты пост – вынік гарачых спрэчак на тэму таго, ці патрэбен на карпаратыўным мабільным тэлефоне антывірус, у якіх выпадках ён працуе, а ў якіх бескарысны. У артыкуле разбіраюцца мадэлі пагроз, ад якіх у тэорыі павінен бараніць антывірус.

Прадаўцам антывірусаў часта атрымоўваецца пераканаць карпаратыўных кліентаў, што антывірус моцна падвысіць іх бяспеку, але ў большасці выпадкаў гэта ілюзорная абарона, з-за якой толькі змяншаецца пільнасць як карыстачоў, так і адміністратараў.

Правільная карпаратыўная інфраструктура

Калі ў кампаніі дзясяткі ці нават тысячы супрацоўнікаў, наладжваць кожную карыстацкую прыладу ўручную немагчыма. Настройкі кожны дзень могуць змяняцца, прыходзяць новыя супрацоўнікі, у іх ламаюцца або губляюцца мабільныя тэлефоны і ноўтбукі. У выніку ўся праца адмінаў складалася б у штодзённым разгортванні новых налад на прыладах супрацоўнікаў.

На дэсктопных кампутарах гэтую задачу пачалі вырашаць даўно. У свеце Windows, звычайна, такое кіраванне адбываецца з дапамогай Active Directory, цэнтралізаваных сістэм аўтэнтыфікацыі (Single Sign In) і т.д. Але зараз ва ўсіх супрацоўнікаў да кампутараў дадаліся смартфоны, на якіх адбываецца значная частка працоўных працэсаў і захоўваюцца важныя дадзеныя. Microsoft спрабавалі аб'яднаць свае тэлефоны на Windows Phone у адзіную экасістэму з Windows, але гэта ідэя памерла разам з афіцыйнай смерцю Windows Phone. Таму ў карпаратыўным асяроддзі ў любым выпадку даводзіцца выбіраць паміж Android і iOS.

Цяпер у карпаратыўным асяроддзі, для кіравання прыладамі супрацоўнікаў, у модзе канцэпцыя UEM (Unified endpoint management). Гэта цэнтралізаваная сістэма кіравання мабільнымі прыладамі і дэсктопнымі кампутарамі.
Мабільныя антывірусы не працуюць
Цэнтралізаванае кіраванне карыстацкімі прыладамі (Unified endpoint management)

Адміністратар сістэмы UEM можа ўстанаўліваць розныя палітыкі для карыстацкіх прылад. Напрыклад, дазволіць карыстачу большы ці меншы кантроль над прыладай, усталёўкі прыкладанняў з іншых крыніц і г.д.

Што можа рабіць UEM:

Кіраваць усімі наладамі - адміністратар можа цалкам забараніць карыстачу змяняць налады на прыладзе і змяняць іх выдалена.

Кантраляваць ПЗ на прыладзе - дазваляць магчымасць усталёўкі праграм на прыладзе і аўтаматычна ўсталёўваць праграмы без вядзёнай карыстача. Таксама адміністратар можа забараніць ці дазволіць усталёўку праграм з крамы прыкладанняў або з недавераных крыніц (з файлаў APK у выпадку Android).

Выдаленая блакіроўка - у выпадку, калі тэлефон страчаны, адміністратар можа заблакаваць прыладу або ачысціць дадзеныя. Некаторыя сістэмы таксама дазваляюць задаць аўтаматычнае выдаленне дадзеных, калі тэлефон не выходзіў на сувязь з серверам больш за N гадзін, каб выключыць магчымасць спроб афлайн узлому, калі атакавалыя паспелі выцягнуць SIM-карту да таго, як з сервера была паслана каманда ачысткі дадзеных.

Збіраць статыстыку - адсочваць актыўнасць карыстальніка, час выкарыстання прыкладанняў, месцазнаходжанне, узровень зарада батарэі і г.д.

Якія бываюць UEM

Ёсць два прынцыпова розных падыходу для цэнтралізаванага кіравання смартфонамі супрацоўнікаў: у адным выпадку кампанія закупляе для супрацоўнікаў прылады аднаго вытворцы і звычайна выбірае сістэму кіравання ад таго ж пастаўшчыка. У іншым выпадку супрацоўнікі выкарыстоўваюць свае асабістыя прылады для працы, і тут пачынаецца заапарк з аперацыйных сістэм, версій і платформ.

BYOD (Bring your own device, Прынясі сваю прыладу) - канцэпцыя, у якой супрацоўнікі выкарыстоўваюць для працы свае асабістыя прылады і ўліковыя запісы. Некаторыя сістэмы цэнтралізаванага кіравання дазваляюць дадаць другі працоўны ўліковы запіс і цалкам падзяліць дадзеныя на асабістыя і працоўныя.

Мабільныя антывірусы не працуюць

Менеджэр па бізнесе Apple - Родная сістэма цэнтралізаванага кіравання ад Apple. Умее кіраваць толькі прыладамі Apple, кампутарамі з macOS і тэлефонамі на iOS. Падтрымлівае BYOD, ствараецца другое ізаляванае асяроддзе з іншым уліковым запісам iCloud.

Мабільныя антывірусы не працуюць

Google Cloud Endpoint Management - дазваляе кіраваць тэлефонамі на Android і Apple iOS, а таксама дэсктопамі на Windows 10. Заяўляецца падтрымка BYOD.

Мабільныя антывірусы не працуюць
Samsung Knox UEM – падтрымлівае толькі мабільныя прылады Samsung. Пры гэтым адразу можна карыстацца толькі Samsung Mobile Management.

На самой справе пастаўшчыкоў UEM існуе моцна больш, але мы не будзем разбіраць іх усіх у рамках гэтага артыкула. Галоўнае, што трэба мець у выглядзе, што такія сістэмы ўжо існуюць і дазваляюць адміністратару сканфігураваць карыстацкія прылады адэкватна існай мадэлі пагроз.

Мадэль пагроз

Перш чым выбіраць прылады абароны, трэба зразумець, ад чаго мы абараняемся, што самае страшнае можа здарыцца ў нашым канкрэтным выпадку. Умоўна кажучы: наша тулава лёгка ўразліва для кулі і нават для відэльца з цвіком, але мы ж не надзяваем бронекамізэльку пры выхадзе з дому. Таму ў нашу мадэль пагроз не ўваходзіць небяспека быць застрэленым па шляху на працу, хаця статыстычна гэта не так ужо неверагодна. Пры гэтым у пэўных умовах нашэнне бронекамізэлькі цалкам апраўдана.

У розных кампаніях мадэлі пагроз адрозніваюцца. Возьмем, дапусцім, смартфон кур'ера, які едзе дастаўляць пасылку кліенту. У яго смартфоне ёсць толькі адрас бягучай дастаўкі і маршрут на мапе. Самае страшнае, што можа здарыцца з яго дадзенымі, гэта ўцечка адрасоў дастаўкі пасылак.

А вось смартфон бухгалтара. У яго ёсць доступ у карпаратыўную сетку праз VPN, устаноўлена дадатак карпаратыўнага кліент-банка, захоўваюцца дакументы з каштоўнай інфармацыяй. Відавочна, што каштоўнасць дадзеных на гэтых дзвюх прыладах значна адрозніваецца і абараняць іх варта па-рознаму.

Антывірус нас выратуе?

Нажаль, за маркетынгавымі слоганамі губляецца рэальны сэнс задач, якія выконвае антывірус на мабільнай прыладзе. Паспрабуем разабрацца дэталёва, што робіць антывірус на тэлефоне.

Аўдыт бяспекі

Большасць сучасных мабільных антывірусаў выконвае аўдыт налад бяспекі на прыладзе. Часам такі аўдыт завуць "праверкай рэпутацыі прылады". Антывірусы лічаць прыладу бяспечным, калі выконваюцца чатыры ўмовы:

  • Прылада не ўзламана (root, jailbreak).
  • На прыладзе наладжаны пароль.
  • На прыладзе не дазволена адладка па USB.
  • На прыладзе не дазволена ўстаноўка прыкладанняў з недавераных крыніц (sideloading).

Калі ў выніку праверкі прылада прызнана небяспечным, антывірус паведаміць пра гэта ўладальніку і прапануе адключыць "небяспечны" функцыянал ці вярнуць завадскую прашыўку ў выпадку наяўнасці прыкмет root ці jailbreak.

Па карпаратыўных звычаях недастаткова толькі паведаміць карыстальніка. Неабходна выключыць небяспечныя канфігурацыі. Для гэтага з дапамогай UEM-сістэмы трэба настроіць на мабільных прыладах палітыкі бяспекі. А ў выпадку выяўлення root/jailbreak трэба імкліва выдаляць з прылады карпаратыўныя дадзеныя і блакаваць яго доступ у карпаратыўную сетку. І гэта таксама магчыма з дапамогай UEM. І толькі пасля гэтых працэдур можна лічыць мабільную прыладу бяспечнай.

Пошук і выдаленне вірусаў

Насуперак ходкаму меркаванню, што для iOS не існуе вірусаў, гэта няпраўда. У дзікай прыродзе да гэтага часу распаўсюджаны эксплойты для старых версій iOS, якія заражаюць прылады праз эксплуатацыю ўразлівасцяў у браўзэры. Пры гэтым, з-за архітэктуры iOS, распрацоўка антывірусаў для гэтай платформы немагчыма. Асноўная прычына - прыкладанні не могуць атрымаць доступ да спісу ўсталяваных прыкладанняў і маюць шмат абмежаванняў пры доступе да файлаў. Спіс устаноўленых iOS-прыкладанняў можа атрымаць толькі UEM, але нават UEM не можа атрымаць доступ да файлаў.

З Android сітуацыя іншая. Прыкладанні могуць атрымаць інфармацыю аб усталяваных на прыладзе прыкладаннях. Яны могуць нават атрымаць доступ да іх дыстрыбутываў (напрыклад, Apk Extractor і яго аналогі). Android-прыкладанні таксама маюць магчымасць доступу да файлаў (напрыклад, Total Commander і інш.). Android-прыкладанні магчыма дэкампіляваць.

З такімі магчымасцямі лагічным выглядае такі антывірусны алгарытм:

  • Праверка прыкладанняў
  • Атрымаць спіс устаноўленых дадаткаў і кантрольныя сумы (КС) іх дыстрыбутываў.
  • Праверыць прыкладанні і іх КС спачатку ў лакальнай, а затым у глабальнай базе.
  • Калі дадатак невядома, перадаць яго дыстрыбутыў у глабальную базу для аналізу і дэкампіляцыі.

  • Праверка файлаў, пошук вірусных сігнатур
  • Праверыць КС файлаў у лакальнай, затым у глабальнай базе.
  • Праверыць наяўнасць у файлах небяспечнага змесціва (скрыптоў, эксплоітаў і г.д.) па лакальнай, а затым глабальнай базе.
  • Калі выяўлена malware, паведаміць карыстачу і/ці заблакаваць доступ карыстача да malware і/ці перадаць інфармацыю ў UEM. Перадаваць інфармацыю ў UEM неабходна, таму што антывірус не можа самастойна выдаліць malware з прылады.

Больш за ўсё асцярог выклікае магчымасць перадачы дыстрыбутываў праграм з прылады на вонкавы сервер. Без гэтага нельга рэалізаваць які заяўляецца вытворцамі антывірусаў "паводніцкі аналіз", т.к. на прыладзе нельга запусціць прыкладанне ў асобнай «пясочніцы» або вырабіць яго дэкампіляцыю (наколькі яна эфектыўная пры выкарыстанні абфускацыі – гэта асобнае складанае пытанне). З іншага боку, на мабільных прыладах супрацоўнікаў могуць быць усталяваныя карпаратыўныя прыкладанні, якія невядомыя антывірусу, таму што іх няма ў Google Play. У гэтых мабільных прыкладаннях могуць утрымлівацца адчувальныя дадзеныя, з-за якіх гэтыя прыкладанні не размяшчаюць у публічнай краме. Перадача такіх дыстрыбутываў вытворцу антывіруса ўяўляецца некарэктнай з пункту гледжання бяспекі. Мае сэнс дадаваць іх у выключэнні, але аб наяўнасці падобнага механізму пакуль мне невядома.

Malware без прывілеяў root можа

1. Намаляваць паверх прыкладання сваё нябачнае акно ці ўкараніць сваю клавіятуру, каб капіяваць уводныя карыстачом дадзеныя – параметры ўліковых запісаў, банкаўскіх карт і т.д. Нядаўні прыклад - уразлівасць CVE-2020-0096, з дапамогай якой магчыма падмяніць актыўны экран прыкладання і тым самым атрымаць доступ да ўводзімых карыстальнікам дадзеных. Для карыстальніка гэта азначае магчымасць крадзяжу ўліковага запісу Google з доступам да рэзервовай копіі прылады і дадзеным банкаўскіх карт. Для арганізацыі, у сваю чаргу, важна не страціць свае дадзеныя. Калі дадзеныя знаходзяцца ў прыватнай памяці прыкладання і не змяшчаюцца ў рэзервовай копіі Google, то malware не зможа атрымаць да іх доступ.

2. Атрымаць доступ да дадзеных у публічных каталогах - загрузкі, дакументы, галерэя. У гэтых каталогах не рэкамендуецца захоўваць мелую каштоўнасць для кампаніі інфармацыю, таму што да іх можа атрымаць доступ любое прыкладанне. Ды і сам карыстач заўсёды зможа падзяліцца канфідэнцыйным дакументам з дапамогай любога даступнага прыкладання.

3. Надакучаць карыстачу рэкламай, майніць біткойны, быць часткай ботнэту і г.д.. Гэта можа негатыўна адбіцца на працаздольнасці карыстача і/ці прылады, але не стане пагрозай для карпаратыўных дадзеных.

Malware з прывілеямі root патэнцыйна могуць усё, што заўгодна. Сустракаюцца яны рэдка, таму што ўзлом сучасных Android-прылад з дапамогай прыкладання практычна немагчымы. Апошні раз такая ўразлівасць была выяўлена ў 2016 годзе. Гэта нашумелы Dirty COW, якому быў прысвоены нумар CVE-2016-5195. Ключавое тут тое, што пры выяўленні прыкмет узлому UEM кліент сатрэ ўсю карпаратыўную інфармацыю з прылады, таму верагоднасць паспяховага крадзяжу дадзеных з дапамогай такіх malware у карпаратыўным свеце невысокая.

Шкоднасныя файлы могуць наносіць шкоду як мабільнай прыладзе, так і карпаратыўным сістэмам, да якіх яно мае доступ. Разбяром гэтыя сцэнары падрабязней.

Шкода мабільнай прыладзе можна вырабіць, напрыклад, калі запампаваць на яго малюначак, якая пры адкрыцці ці пры спробе ўсталёўкі шпалер ператворыць прыладу ў «цэглу» ці перазагрузіць яго. Хутчэй за ўсё гэта нашкодзіць прыладзе або карыстачу, але не адаб'ецца на канфідэнцыйнасці дадзеных. Хаця бываюць і выключэнні.

Нядаўна абмяркоўвалася ўразлівасць CVE-2020-8899. Сцвярджалася, што з яе дапамогай можна атрымаць доступ да кансолі мабільных прылад Samsung з дапамогай заражанай карцінкі, адпраўленай па электроннай пошце, месэнджару або MMS. Хоць доступ да кансолі азначае магчымасць доступу толькі да дадзеных у публічных каталогах, дзе канфідэнцыйнай інфармацыі быць не павінна, канфідэнцыяльнасць асабістых дадзеных карыстачоў апыняецца пад пагрозай, і гэта напалохала карыстачоў. Хаця па факце, атакаваць прылады магчыма толькі з дапамогай MMS. А для паспяховага нападу трэба адправіць ад 75 да 450 (!) паведамленняў. Антывірус тут, нажаль, не дапаможа, таму што не мае доступу да часопіса паведамленняў. Каб абараніцца ад гэтага, ёсць толькі два варыянты. Абнавіць АС або заблакаваць MMS. Першага варыянту можна доўга чакаць і не дачакацца, т.я. вытворцы прылад выпускаюць абнаўленні не для ўсіх прылад. Адключыць прыём MMS у дадзеным выпадку нашмат прасцей.

Шкода карпаратыўным сістэмам могуць нанесці файлы, якія перадаюцца з мабільных прылад. Напрыклад, на мабільнай прыладзе ёсць заражаны файл, які не можа прычыніць шкоды прыладзе, але можа заразіць Windows-кампутар. Карыстальнік адпраўляе такі файл па электроннай пошце свайму калегу. Той адчыняе яго на ПК і, тым самым, можа яго заразіць. Але на шляхі гэтага вектара нападу каштуюць прынамсі два антывіруса – адзін на серверы электроннай пошты, іншы на ПК атрымальніка. Даданне ў гэты ланцужок трэцяга антывіруса на мабільнай прыладзе здаецца зусім ужо паранояй.

Як бачна, найбольшую пагрозу ў карпаратыўным лічбавым свеце ўяўляюць malware без прывілеяў root. Адкуль яны могуць узяцца на мабільным прыладзе?

Часцей за ўсё іх усталёўваюць з дапамогай sideloading, adb або іншых крам, якія павінны быць забароненыя на мабільных прыладах з доступам у карпаратыўную сетку. Застаецца два варыянты траплення malware - з Google Play або з UEM.

Перад публікацыяй у Google Play усе прыкладанні праходзяць абавязковую праверку. Але для прыкладанняў з невялікай колькасцю ўсталёвак праверкі часцей за ўсё выконваюцца без удзелу людзей, толькі ў аўтаматычным рэжыме. Таму часам у Google Play пападае malware, але ўсёткі не часта. Антывірус, чые базы своечасова абнаўляюцца, зможа выявіць прыкладанні з malware на прыладзе раней Google Play Protect, які пакуль адстае па хуткасці абнаўлення антывірусных баз.

UEM можа паставіць на мабільную прыладу любое прыкладанне, у т.л. malware, таму любое прыкладанне трэба папярэдне правяраць. Прыкладанні можна правяраць як падчас іх распрацоўкі з дапамогай сродкаў статычнага і дынамічнага аналізу, так і непасрэдна перад іх распаўсюджваннем з дапамогай спецыялізаваных «пясочніц» і/ці антывірусных рашэнняў. Важна, што пры гэтым дадатак правяраецца аднаразова перад загрузкай у UEM. Такім чынам, і ў гэтым выпадку антывірус на мабільнай прыладзе не патрэбен.

Сеткавая абарона

У складзе сеткавай абароны ў залежнасці ад вытворцы антывіруса можа прапаноўвацца адна ці некалькі з наступных функцый.

URL-фільтрацыя прымяняецца з мэтай:

  • Блакаванне трафіку па катэгорыях рэсурсаў. Напрыклад, каб забараніць глядзець навіны ці іншы некарпаратыўны кантэнт да абеду, калі супрацоўнік найбольш эфектыўны. На практыцы блакіроўка часцей за ўсё працуе з мноствам абмежаванняў - вытворцам антывірусаў не заўсёды атрымоўваецца своечасова актуалізаваць даведнікі катэгорый рэсурсаў з улікам наяўнасці мноства "люстэркаў". Плюс ёсць ананімайзеры і Opera VPN, на якія блакіроўка часцей за ўсё не распаўсюджваецца.
  • Абароны ад фішынгу або падмены мэтавых хастоў. Для гэтага URL, да якіх звяртаецца прылада, папярэдне правяраюцца па антывіруснай базе. Спасылкі, а таксама рэсурсы, да якіх яны вядуць (уключаючы магчымыя шматлікія рэдырэкты), правяраюцца па базе вядомых фішынгавых сайтаў. Таксама ажыццяўляецца зверка даменнага імя, сертыфіката і IP-адрасы паміж мабільнай прыладай і давераным серверам. Калі кліент і сервер атрымліваюць розныя дадзеныя, то гэта або MITM ("чалавек пасярэдзіне", man in the middle), або блакіроўка трафіку з дапамогай таго ж антывіруса або рознага роду proxy і вэб-фільтраў у сетцы, да якой падключана мабільная прылада. Упэўнена сказаць, што пасярэдзіне нехта ёсць, складана.

Каб атрымаць доступ да мабільнага трафіку, антывірус альбо будуе VPN, альбо выкарыстоўвае магчымасці Accessibility API (API для прыкладанняў, прызначаных для людзей з абмежаванымі магчымасцямі). Адначасовая праца некалькіх VPN на мабільным прыладзе немагчымая, таму сеткавая абарона ад антывірусаў, якія будуюць уласны VPN, у карпаратыўным свеце непрымяняльная. VPN ад антывіруса проста не будзе працаваць разам з карпаратыўным VPN, які выкарыстоўваюць для доступу ў карпаратыўную сетку.

Прадастаўленне антывіруса доступу да Accessibility API тоіць іншую небяспеку. Доступ да Accessibility API фактычна азначае дазвол рабіць за карыстальніка што заўгодна - бачыць тое, што бачыць карыстач, выконваць дзеянні з прыкладаннямі замест карыстальніка і г.д. З улікам таго, што карыстач павінен відавочна падаць антывірусу такі доступ, ён хутчэй за ўсё адмовіцца гэта рабіць. Або, калі яго прымусяць, набудзе сабе яшчэ адзін тэлефон без антывіруса.

Міжсеткавае экранаванне

Пад гэтай агульнай назвай хаваюцца тры функцыі:

  • Збор статыстыкі па выкарыстанні сеткі з падзелам па дадатках і тыпу сеткі (Wi-Fi, сотавы аператар). Большасць вытворцаў Android-прылад падаюць гэтыя дадзеныя ў дадатку "Наладкі". Дубліраванне яе ў інтэрфейсе мабільнага антывіруса здаецца залішнім. Цікавасць можа прадстаўляць сукупная інфармацыя па ўсіх прыладах. Яе паспяхова збіраюць і аналізуюць UEM сістэмы.
  • Абмежаванне мабільнага трафіку - настройка ліміту, апавяшчэнне пры яго дасягненні. Карыстачам большасці Android-прылад гэтыя функцыі даступныя ў дадатку «Налады». Цэнтралізаваная настройка абмежаванняў - задача UEM, а не антывіруса.
  • Уласна, міжсеткавае экранаванне (firewall). Або, інакш, блакіроўка доступу да вызначаных IP-адрасоў і партоў. З улікам DDNS на ўсіх папулярных рэсурсах і неабходнасці ўключэння для гэтых мэт VPN, які, як напісана вышэй, не можа працаваць сумесна з асноўным VPN, функцыя здаецца непрыдатнай у карпаратыўнай практыцы.

Праверка даверанасці Wi-Fi

Мабільныя антывірусы могуць ацэньваць бяспеку Wi-Fi сетак, да якіх падключаецца мабільная прылада. Можна меркаваць, што правяраюцца наяўнасць і ўстойлівасць шыфравання. Пры гэтым усім сучасныя праграмы выкарыстоўваюць шыфраванне для перадачы адчувальных дадзеных. Таму, калі нейкая праграма ўразлівая на канальным узроўні, то яе таксама небяспечна выкарыстоўваць праз любыя інтэрнэт-каналы, а не толькі праз публічны Wi-Fi.
Таму публічны Wi-Fi, у тым ліку без шыфравання, не больш небяспечны і не менш бяспечны за любыя іншыя недавераныя каналы перадачы дадзеных без шыфравання.

Абарона ад спаму

Абарона, як правіла, зводзіцца да фільтрацыі ўваходных званкоў па спісе, паказанаму карыстачом, ці па базе вядомых спамераў, бясконца надакучлівых страхоўкамі, крэдытамі і запрашэннямі ў тэатр. Хоць у самаізаляцыі яны і не звоняць, але хутка зноў пачнуць. Фільтрацыі падлягаюць толькі званкі. Паведамленні на актуальных Android не фільтруюцца. З улікам рэгулярнай змены спамерамі сваіх нумароў, немагчымасці абароны тэкставых каналаў (SMS, месэнджэры) функцыянальнасць носіць хутчэй маркетынгавы, а не практычны характар.

Антыкражная абарона

Выкананне выдаленых дзеянняў з мабільнай прыладай пры страце ці крадзяжы. Альтэрнатыва сэрвісам Find My iPhone і Find My Device ад Apple і Google адпаведна. У адрозненне ад сваіх аналагаў сэрвісы вытворцаў антывірусаў не могуць падаць блакаванне прылады, калі зламыснік паспеў скінуць яго да завадскіх налад. Але калі гэтага яшчэ не адбылося, з прыладай можна дыстанцыйна зрабіць наступнае:

  • Заблакаваць. Абарона ад недалёкага злодзея, таму што лёгка абыходзіцца скідам прылады да завадскіх налад праз recovery.
  • Даведацца каардынаты прылады. Карысна, калі прылада была страчана нядаўна.
  • Уключыць гучны гукавы сігнал, каб па ім знайсці прыладу, калі на ім уключаны бязгучны рэжым.
  • Скінуць прыладу да завадскіх налад. Мае сэнс, калі карыстач прызнаў прыладу беззваротна страчаным, але не жадае, каб якія захоўваюцца на ім дадзеныя былі разгалошаныя.
  • Зрабіць фота. Сфатаграфаваць зламысніка, калі ён трымае тэлефон у руках. Найбольш сумнеўная функцыянальнасць - верагоднасць таго, што зламыснік любуецца ў тэлефон пры добрым асвятленні, невысокая. А вось наяўнасць на прыладзе прыкладання, якое можа неўзаметку кіраваць камерай смартфона, рабіць фатаграфіі і адпраўляць іх сабе на сервер, выклікае абгрунтаваную трывогу.

Выдаленае выкананне каманд з'яўляецца базавым у любой UEM сістэме. У іх адсутнічае хіба што аддаленае фатаграфаванне. Гэта дакладны шлях да таго, каб карыстачы пасля канца працоўнага дня вымалі з тэлефонаў акумулятары і клалі іх у мяшок Фарадэя.

Функцыі антызлодзе ў мабільных антывірусах даступныя толькі для Android. Для iOS такія дзеянні могуць выконваць толькі UEM. UEM на iOS-прыладзе можа быць толькі адзін - гэта архітэктурная асаблівасць iOS.

Высновы

  1. Сітуацыя, у якой карыстач можа ўсталяваць шкоднасную праграму на тэлефон, недапушчальная.
  2. Правільна наладжаны UEM на карпаратыўным прыладзе выключае патрэбнасць у антывірусе.
  3. У выпадку выкарыстання 0-day уразлівасцяў у аперацыйнай сістэме антывірус бескарысны. Ён можа толькі паказаць адміністратару, што прылада ўразлівая.
  4. Вызначыць - ці выкарыстоўваецца ўразлівасць, антывірус не можа. Таксама, як і выпусціць абнаўленне для прылады, для якога вытворца ўжо не выпускае абнаўленняў бяспекі. Ад сілы - гэта год-два.
  5. Калі абстрагавацца ад патрабаванняў рэгулятараў і маркетынгу, то карпаратыўныя мабільныя антывірусы патрэбныя толькі на Android прыладах, дзе карыстачам даступны Google Play і ўсталёўка праграм з іншых крыніц. У астатніх выпадках эфектыўнасць выкарыстання антывірусаў не больш за плацебо.

Мабільныя антывірусы не працуюць

Крыніца: habr.com

Дадаць каментар