ProHoster > Bloc > Administració > Els antivirus mòbils no funcionen

Els antivirus mòbils no funcionen

Els antivirus mòbils no funcionen
TL; DR si els vostres dispositius mòbils corporatius requereixen un antivirus, aleshores ho feu tot malament i l'antivirus no us ajudarà.

Aquest post és el resultat d'un acalorat debat sobre si cal un antivirus en un telèfon mòbil corporatiu, en quins casos funciona i en quins casos és inútil. L'article examina els models d'amenaça contra els quals, en teoria, hauria de protegir un antivirus.

Els venedors d'antivirus sovint aconsegueixen convèncer els clients corporatius que un antivirus millorarà molt la seva seguretat, però en la majoria dels casos es tracta d'una protecció il·lusòria, que només redueix la vigilància tant dels usuaris com dels administradors.

La infraestructura corporativa adequada

Quan una empresa té desenes o fins i tot milers d'empleats, és impossible configurar manualment cada dispositiu d'usuari. La configuració pot canviar cada dia, entren nous empleats, els seus telèfons mòbils i ordinadors portàtils es trenquen o es perden. Com a resultat, tot el treball dels administradors consistiria en el desplegament diari de noves configuracions als dispositius dels empleats.

Aquest problema es va començar a resoldre als ordinadors de sobretaula fa molt de temps. Al món Windows, aquesta gestió es fa habitualment mitjançant Active Directory, sistemes d'autenticació centralitzats (Single Sign In), etc. Però ara tots els empleats tenen telèfons intel·ligents afegits als seus ordinadors, en els quals es desenvolupa una part important dels processos de treball i s'emmagatzemen dades importants. Microsoft va intentar integrar els seus telèfons Windows en un únic ecosistema amb Windows, però aquesta idea va morir amb la mort oficial de Windows Phone. Per tant, en un entorn corporatiu, en qualsevol cas, cal triar entre Android i iOS.

Ara, en un entorn corporatiu, el concepte UEM (Unified endpoint management) està de moda per a la gestió dels dispositius dels empleats. Es tracta d'un sistema de gestió centralitzat per a dispositius mòbils i ordinadors d'escriptori.
Els antivirus mòbils no funcionen
Gestió centralitzada dels dispositius d'usuari (Gestió unificada de punts finals)

L'administrador del sistema UEM pot establir polítiques diferents per als dispositius d'usuari. Per exemple, permetre a l'usuari un control més o menys sobre el dispositiu, instal·lar aplicacions de fonts de tercers, etc.

Què pot fer la UEM:

Gestiona tots els paràmetres — l'administrador pot prohibir completament a l'usuari canviar la configuració del dispositiu i canviar-los de manera remota.

Programari de control al dispositiu — permetre la possibilitat d'instal·lar programes al dispositiu i instal·lar-los automàticament sense que l'usuari ho sàpiga. L'administrador també pot bloquejar o permetre la instal·lació de programes des de la botiga d'aplicacions o de fonts no fiables (des d'arxius APK en el cas d'Android).

Bloqueig remot — si es perd el telèfon, l'administrador pot bloquejar el dispositiu o esborrar les dades. Alguns sistemes també permeten configurar l'eliminació automàtica de dades si el telèfon no s'ha posat en contacte amb el servidor durant més de N hores, per eliminar la possibilitat d'intents de pirateria fora de línia quan els atacants aconsegueixen treure la targeta SIM abans que l'ordre d'esborrat de dades s'enviés des del servidor. .

Recull estadístiques - Feu un seguiment de l'activitat de l'usuari, el temps d'ús de l'aplicació, la ubicació, el nivell de bateria, etc.

Què són les UEM?

Hi ha dos enfocaments fonamentalment diferents per a la gestió centralitzada dels telèfons intel·ligents dels empleats: en un cas, l'empresa compra dispositius d'un fabricant per als empleats i normalment tria un sistema de gestió del mateix proveïdor. En un altre cas, els empleats utilitzen els seus dispositius personals per a la feina, i aquí comença el zoo de sistemes operatius, versions i plataformes.

BYOD (Porta el teu propi dispositiu) és un concepte en què els empleats utilitzen els seus dispositius i comptes personals per treballar. Alguns sistemes de gestió centralitzat us permeten afegir un segon compte de treball i separar completament les vostres dades en personals i laborals.

Els antivirus mòbils no funcionen

Director empresarial d’Apple - Sistema de gestió centralitzat natiu d'Apple. Només pot gestionar dispositius Apple, ordinadors amb telèfons macOS i iOS. Admet BYOD, creant un segon entorn aïllat amb un compte d'iCloud diferent.

Els antivirus mòbils no funcionen

Gestió de punt final de Google Cloud — us permet gestionar telèfons a Android i Apple iOS, així com ordinadors de sobretaula a Windows 10. Es declara el suport BYOD.

Els antivirus mòbils no funcionen
Samsung Knox UEM - Només admet dispositius mòbils Samsung. En aquest cas, només podeu utilitzar immediatament Samsung Mobile Management.

De fet, hi ha molts més proveïdors d'UEM, però no els analitzarem tots en aquest article. El més important a tenir en compte és que aquests sistemes ja existeixen i permeten a l'administrador configurar els dispositius d'usuari adequadament al model d'amenaça existent.

Model d'amenaça

Abans d'escollir les eines de protecció, hem d'entendre de què ens estem protegint, què pot passar el pitjor en el nostre cas particular. Relativament parlant: el nostre cos és fàcilment vulnerable a una bala i fins i tot una forquilla i un clau, però no ens posem armilla antibales quan sortim de casa. Per tant, el nostre model d'amenaça no inclou el risc de ser disparat de camí a la feina, encara que estadísticament això no és tan improbable. A més, en determinades condicions, l'ús d'armilla antibales està totalment justificat.

Els models d'amenaça varien d'una empresa a una altra. Prenguem, per exemple, el telèfon intel·ligent d'un missatger que va camí d'entregar un paquet a un client. El seu telèfon intel·ligent només conté l'adreça del lliurament actual i la ruta al mapa. El pitjor que pot passar amb les seves dades és una filtració d'adreces de lliurament de paquets.

I aquí teniu el telèfon intel·ligent del comptable. Té accés a la xarxa corporativa mitjançant VPN, té instal·lada una aplicació bancària client corporativa i emmagatzema documents amb informació valuosa. Òbviament, el valor de les dades d'aquests dos dispositius difereix significativament i s'ha de protegir de manera diferent.

Ens salvarà l'antivirus?

Malauradament, darrere dels eslògans de màrqueting es perd el significat real de les tasques que realitza un antivirus en un dispositiu mòbil. Intentem entendre amb detall què fa l'antivirus al telèfon.

Auditoria de seguretat

La majoria dels antivirus mòbils moderns auditen la configuració de seguretat del dispositiu. Aquesta auditoria de vegades s'anomena "comprovació de la reputació del dispositiu". Els antivirus consideren un dispositiu segur si es compleixen quatre condicions:

  • El dispositiu no està piratejat (root, jailbreak).
  • El dispositiu té una contrasenya configurada.
  • La depuració USB no està activada al dispositiu.
  • La instal·lació d'aplicacions des de fonts no fiables (càrrega lateral) no està permesa al dispositiu.

Si, com a resultat de l'escaneig, es troba que el dispositiu no és segur, l'antivirus ho notificarà al propietari i oferirà desactivar la funcionalitat "perillosa" o tornar el microprogramari de fàbrica si hi ha indicis d'arrel o jailbreak.

Segons el costum corporatiu, no n'hi ha prou amb notificar a l'usuari. S'han d'eliminar les configuracions insegures. Per fer-ho, cal configurar les polítiques de seguretat als dispositius mòbils mitjançant el sistema UEM. I si es detecta un root/jailbreak, cal eliminar ràpidament les dades corporatives del dispositiu i bloquejar-ne l'accés a la xarxa corporativa. I això també és possible amb la UEM. I només després d'aquests procediments el dispositiu mòbil es pot considerar segur.

Cerca i elimina virus

Contràriament a la creença popular que no hi ha virus per a iOS, això no és cert. Encara hi ha exploits comuns en estat salvatge per a versions anteriors d'iOS infectar dispositius mitjançant l'explotació de vulnerabilitats del navegador. Al mateix temps, a causa de l'arquitectura d'iOS, el desenvolupament d'antivirus per a aquesta plataforma és impossible. El motiu principal és que les aplicacions no poden accedir a la llista d'aplicacions instal·lades i tenen moltes restriccions en accedir als fitxers. Només UEM pot obtenir la llista d'aplicacions d'iOS instal·lades, però fins i tot UEM no pot accedir als fitxers.

Amb Android la situació és diferent. Les aplicacions poden obtenir informació sobre les aplicacions instal·lades al dispositiu. Fins i tot poden accedir a les seves distribucions (per exemple, Apk Extractor i els seus anàlegs). Les aplicacions d'Android també tenen la possibilitat d'accedir a fitxers (per exemple, Total Commander, etc.). Les aplicacions d'Android es poden descompilar.

Amb aquestes capacitats, el següent algorisme antivirus sembla lògic:

  • Comprovació d'aplicacions
  • Obteniu una llista d'aplicacions instal·lades i sumes de control (CS) de les seves distribucions.
  • Comproveu les aplicacions i el seu CS primer a la base de dades local i després a la base de dades global.
  • Si l'aplicació és desconeguda, transferiu-ne la distribució a la base de dades global per a l'anàlisi i la descompilació.

  • Comprovació de fitxers, cerca de signatures de virus
  • Comproveu els fitxers CS a la base de dades local i després a la base de dades global.
  • Comproveu els fitxers per si hi ha contingut no segur (scripts, exploits, etc.) mitjançant una base de dades local i després una base de dades global.
  • Si es detecta programari maliciós, aviseu l'usuari i/o bloquegeu l'accés de l'usuari al programari maliciós i/o reenvieu la informació a la UEM. Cal transferir informació a UEM perquè l'antivirus no pot eliminar de manera independent el programari maliciós del dispositiu.

La preocupació més gran és la possibilitat de transferir distribucions de programari des del dispositiu a un servidor extern. Sense això, és impossible implementar l'"anàlisi del comportament" reclamada pels fabricants d'antivirus, perquè Al dispositiu, no podeu executar l'aplicació en un "sandbox" separat ni descompilar-la (l'efectivitat que és quan s'utilitza l'ofuscament és una qüestió complexa a part). D'altra banda, es poden instal·lar aplicacions corporatives en dispositius mòbils dels empleats desconeguts per l'antivirus perquè no es troben a Google Play. Aquestes aplicacions mòbils poden contenir dades sensibles que poden fer que aquestes aplicacions no apareguin a la botiga pública. Transferir aquestes distribucions al fabricant de l'antivirus sembla incorrecte des del punt de vista de la seguretat. Té sentit afegir-los a excepcions, però encara no sé sobre l'existència d'aquest mecanisme.

El programari maliciós sense privilegis de root ho pot fer

1. Dibuixa la teva pròpia finestra invisible a la part superior de l'aplicació o implementeu el vostre propi teclat per copiar les dades introduïdes per l'usuari: paràmetres del compte, targetes bancàries, etc. Un exemple recent és la vulnerabilitat. CVE-2020-0096, amb l'ajuda del qual és possible substituir la pantalla activa d'una aplicació i així accedir a les dades introduïdes per l'usuari. Per a l'usuari, això significa la possibilitat de robatori d'un compte de Google amb accés a una còpia de seguretat del dispositiu i dades de la targeta bancària. Per a l'organització, al seu torn, és important no perdre les seves dades. Si les dades es troben a la memòria privada de l'aplicació i no es troben en una còpia de seguretat de Google, el programari maliciós no hi podrà accedir.

2. Accedir a les dades dels directoris públics – descàrregues, documents, galeria. No es recomana emmagatzemar informació valorada per l'empresa en aquests directoris perquè es pot accedir a ells des de qualsevol aplicació. I el propi usuari sempre podrà compartir un document confidencial mitjançant qualsevol aplicació disponible.

3. Molestar l'usuari amb publicitat, minar bitcoins, formar part d'una botnet, etc.. Això pot tenir un impacte negatiu en el rendiment de l'usuari i/o del dispositiu, però no suposarà una amenaça per a les dades corporatives.

El programari maliciós amb privilegis root pot fer qualsevol cosa. Són rars perquè piratejar dispositius Android moderns amb una aplicació és gairebé impossible. L'última vegada que es va descobrir aquesta vulnerabilitat va ser el 2016. Aquesta és la sensacional Dirty COW, a la qual se li va donar el número CVE-2016-5195. La clau aquí és que si el client detecta indicis d'un compromís UEM, el client esborrarà tota la informació corporativa del dispositiu, de manera que la probabilitat de robatori de dades amb èxit amb aquest programari maliciós al món corporatiu és baixa.

Els fitxers maliciosos poden danyar tant el dispositiu mòbil com els sistemes corporatius als quals té accés. Vegem aquests escenaris amb més detall.

Es pot danyar un dispositiu mòbil, per exemple, si hi descarregueu una imatge, que, quan s'obre o quan intenteu instal·lar fons de pantalla, convertirà el dispositiu en un "maó" o el reiniciarà. El més probable és que això perjudiqui el dispositiu o l'usuari, però no afectarà la privadesa de les dades. Encara que hi ha excepcions.

La vulnerabilitat es va parlar recentment CVE-2020-8899. Es va al·legar que es podria utilitzar per accedir a la consola dels dispositius mòbils de Samsung mitjançant una imatge infectada enviada per correu electrònic, missatgeria instantània o MMS. Tot i que l'accés a la consola significa poder accedir només a dades en directoris públics on no hi hauria d'haver informació sensible, la privadesa de les dades personals dels usuaris es veu compromesa i això ha espantat els usuaris. Tot i que, de fet, només és possible atacar dispositius mitjançant MMS. I per a un atac reeixit cal enviar de 75 a 450 (!) missatges. L'antivirus, malauradament, no ajudarà aquí, perquè no té accés al registre de missatges. Per protegir-se d'això, només hi ha dues opcions. Actualitza el sistema operatiu o bloqueja els MMS. Podeu esperar molt de temps per la primera opció i no esperar, perquè... Els fabricants de dispositius no publiquen actualitzacions per a tots els dispositius. Desactivar la recepció MMS en aquest cas és molt més fàcil.

Els fitxers transferits des de dispositius mòbils poden causar danys als sistemes corporatius. Per exemple, hi ha un fitxer infectat en un dispositiu mòbil que no pot danyar el dispositiu, però pot infectar un ordinador amb Windows. L'usuari envia aquest fitxer per correu electrònic al seu company. L'obre a l'ordinador i, d'aquesta manera, el pot infectar. Però almenys dos antivirus s'oposen a aquest vector d'atac: un al servidor de correu electrònic i l'altre a l'ordinador del destinatari. Afegir un tercer antivirus a aquesta cadena en un dispositiu mòbil sembla francament paranoic.

Com podeu veure, la major amenaça del món digital corporatiu és el programari maliciós sense privilegis d'arrel. D'on poden venir en un dispositiu mòbil?

La majoria de les vegades s'instal·len mitjançant botigues de càrrega lateral, adb o de tercers, que haurien d'estar prohibides en dispositius mòbils amb accés a la xarxa corporativa. Hi ha dues opcions perquè arribi programari maliciós: des de Google Play o des de la UEM.

Abans de publicar a Google Play, totes les aplicacions es sotmeten a una verificació obligatòria. Però per a aplicacions amb un nombre reduït d'instal·lacions, les comprovacions es realitzen més sovint sense intervenció humana, només en mode automàtic. Per tant, de vegades el programari maliciós entra a Google Play, però encara no sovint. Un antivirus les bases de dades del qual s'actualitzen de manera oportuna serà capaç de detectar aplicacions amb programari maliciós al dispositiu abans que Google Play Protect, que encara es queda endarrerit en la velocitat d'actualització de bases de dades antivirus.

UEM pot instal·lar qualsevol aplicació en un dispositiu mòbil, incl. programari maliciós, de manera que primer s'ha d'escanejar qualsevol aplicació. Les aplicacions es poden comprovar tant durant el seu desenvolupament mitjançant eines d'anàlisi estàtica i dinàmica, com immediatament abans de la seva distribució mitjançant sandbox especialitzats i/o solucions antivirus. És important que l'aplicació es verifiqui una vegada abans de pujar a la UEM. Per tant, en aquest cas, no cal un antivirus en un dispositiu mòbil.

Protecció de la xarxa

Segons el fabricant de l'antivirus, la protecció de la vostra xarxa pot oferir una o més de les funcions següents.

El filtratge d'URL s'utilitza per:

  • Bloqueig del trànsit per categories de recursos. Per exemple, prohibir veure notícies o altres continguts no corporatius abans de dinar, quan l'empleat és més efectiu. A la pràctica, el bloqueig funciona amb moltes restriccions: els fabricants d'antivirus no sempre aconsegueixen actualitzar els directoris de les categories de recursos de manera oportuna, tenint en compte la presència de molts "miralls". A més, hi ha anonimitzadors i Opera VPN, que sovint no estan bloquejats.
  • Protecció contra el phishing o la falsificació dels amfitrions de destinació. Per fer-ho, primer es comprova els URL als quals accedeix el dispositiu amb la base de dades antivirus. Els enllaços, així com els recursos als quals condueixen (incloses les possibles redireccions múltiples), es contrasten amb una base de dades de llocs de pesca coneguts. El nom de domini, el certificat i l'adreça IP també es verifiquen entre el dispositiu mòbil i el servidor de confiança. Si el client i el servidor reben dades diferents, això és MITM ("home al mig") o bloquejant el trànsit mitjançant el mateix antivirus o diversos tipus de servidors intermediaris i filtres web a la xarxa a la qual està connectat el dispositiu mòbil. És difícil dir amb confiança que hi ha algú al mig.

Per accedir al trànsit mòbil, l'antivirus crea una VPN o utilitza les capacitats de l'API d'accessibilitat (API per a aplicacions destinades a persones amb discapacitat). El funcionament simultània de diverses VPN en un dispositiu mòbil és impossible, de manera que la protecció de la xarxa contra els antivirus que creen la seva pròpia VPN no és aplicable al món corporatiu. Una VPN d'un antivirus simplement no funcionarà juntament amb una VPN corporativa, que s'utilitza per accedir a la xarxa corporativa.

Donar un accés antivirus a l'API d'accessibilitat suposa un altre perill. L'accés a l'API d'accessibilitat significa bàsicament permís per fer qualsevol cosa per a l'usuari: veure què veu l'usuari, realitzar accions amb aplicacions en lloc de l'usuari, etc. Tenint en compte que l'usuari ha de concedir explícitament aquest accés a l'antivirus, és probable que es negui a fer-ho. O, si és forçat, es comprarà un altre telèfon sense antivirus.

Tallafoc

Sota aquest nom general hi ha tres funcions:

  • Recollida d'estadístiques sobre l'ús de la xarxa, dividides per aplicació i tipus de xarxa (Wi-Fi, operador de telefonia mòbil). La majoria dels fabricants de dispositius Android proporcionen aquesta informació a l'aplicació Configuració. Duplicar-lo a la interfície antivirus mòbil sembla redundant. La informació agregada de tots els dispositius pot ser d'interès. Es recull i analitza amb èxit pels sistemes UEM.
  • Limitació del trànsit mòbil: establir un límit, notificant-vos quan s'arriba. Per a la majoria dels usuaris de dispositius Android, aquestes funcions estan disponibles a l'aplicació Configuració. La configuració centralitzada de restriccions és tasca d'UEM, no de l'antivirus.
  • De fet, tallafoc. O, en altres paraules, bloquejar l'accés a determinades adreces IP i ports. Tenint en compte DDNS a tots els recursos populars i la necessitat d'habilitar VPN per a aquests propòsits, que, com s'ha escrit anteriorment, no poden funcionar conjuntament amb la VPN principal, la funció sembla inaplicable a la pràctica corporativa.

Comprovació de poder de Wi-Fi

Els antivirus mòbils poden avaluar la seguretat de les xarxes Wi-Fi a les quals es connecta el dispositiu mòbil. Es pot suposar que es comprova la presència i la força del xifratge. Al mateix temps, tots els programes moderns utilitzen el xifratge per transmetre dades sensibles. Per tant, si algun programa és vulnerable a nivell d'enllaç, també és perillós utilitzar-lo a través de qualsevol canal d'Internet, i no només a través de la Wi-Fi pública.
Per tant, el Wi-Fi públic, inclòs sense xifratge, no és més perillós ni menys segur que qualsevol altre canal de transmissió de dades no fiable sense xifratge.

Protecció contra el correu brossa

La protecció, per regla general, es limita a filtrar les trucades entrants segons una llista especificada per l'usuari, o segons una base de dades de spammers coneguts que molesten sense parar amb assegurances, préstecs i invitacions al teatre. Tot i que no estan trucant durant l'autoaïllament, aviat tornaran a començar. Només les trucades estan subjectes a filtratge. Els missatges dels dispositius Android actuals no es filtren. Tenint en compte que els spammers canvien regularment els seus números i la impossibilitat de protegir els canals de text (SMS, missatgeria instantània), la funcionalitat és més de màrqueting que de naturalesa pràctica.

Protecció antirobatori

Realitzar accions remotes amb un dispositiu mòbil en cas de pèrdua o robatori. Una alternativa als serveis Find My iPhone i Find My Device d'Apple i Google, respectivament. A diferència dels seus anàlegs, els serveis dels fabricants d'antivirus no poden bloquejar un dispositiu si un atacant ha aconseguit restablir-lo a la configuració de fàbrica. Però si això encara no ha passat, podeu fer el següent amb el dispositiu de forma remota:

  • Bloc. Protecció d'un lladre senzill, perquè es pot fer fàcilment restablint el dispositiu a la configuració de fàbrica mitjançant la recuperació.
  • Descobriu les coordenades del dispositiu. Útil quan el dispositiu s'ha perdut recentment.
  • Activa un so fort per ajudar-te a trobar el teu dispositiu si està en mode silenciós.
  • Restableix el dispositiu a la configuració de fàbrica. Té sentit quan l'usuari ha reconegut el dispositiu com a perdut irremeiablement, però no vol que es revelin les dades emmagatzemades en ell.
  • Per fer una foto. Feu una foto de l'atacant si té el telèfon a les mans. La funcionalitat més qüestionable és que la probabilitat que un atacant admiri el telèfon amb una bona il·luminació és baixa. Però la presència al dispositiu d'una aplicació que pot controlar en silenci la càmera del telèfon intel·ligent, fer fotos i enviar-les al seu servidor causa una preocupació raonable.

L'execució de comandaments remots és bàsica en qualsevol sistema UEM. L'únic que els falta és la fotografia a distància. Aquesta és una manera segura d'aconseguir que els usuaris treguin les piles dels seus telèfons i les posin en una bossa de Faraday després d'acabar la jornada laboral.

Les funcions antirobatori dels antivirus mòbils només estan disponibles per a Android. Per a iOS, només UEM pot realitzar aquestes accions. Només hi pot haver un UEM en un dispositiu iOS: aquesta és una característica arquitectònica d'iOS.

Troballes

  1. Una situació en què un usuari pot instal·lar programari maliciós en un telèfon NO ÉS ACCEPTABLE.
  2. Un UEM configurat correctament en un dispositiu corporatiu elimina la necessitat d'antivirus.
  3. Si s'exploten vulnerabilitats de 0 dies en el sistema operatiu, l'antivirus no serveix per a res. Només pot indicar a l'administrador que el dispositiu és vulnerable.
  4. L'antivirus no pot determinar si s'està explotant la vulnerabilitat. A més de publicar una actualització per a un dispositiu per al qual el fabricant ja no publica actualitzacions de seguretat. Com a màxim són un any o dos.
  5. Si ignorem els requisits dels reguladors i del màrqueting, els antivirus mòbils corporatius només es necessiten en dispositius Android on els usuaris tinguin accés a Google Play i instal·lació de programes de fonts de tercers. En altres casos, l'efectivitat de l'ús d'antivirus no és més que un placebo.

Els antivirus mòbils no funcionen

Font: www.habr.com

Afegeix comentari