ProHoster > Blog > podávání > Mobilní antiviry nefungují

Mobilní antiviry nefungují

Mobilní antiviry nefungují
TL, DR pokud vaše firemní mobilní zařízení vyžadují antivirus, pak děláte vše špatně a antivirus vám nepomůže.

Tento příspěvek je výsledkem bouřlivé debaty o tom, zda je na firemním mobilu antivirus potřeba, v jakých případech funguje a v jakých je zbytečný. Článek zkoumá modely hrozeb, před kterými by teoreticky měl antivirus chránit.

Výrobcům antivirů se často podaří přesvědčit firemní klienty, že antivirus výrazně zlepší jejich zabezpečení, ale ve většině případů jde o iluzorní ochranu, která jen snižuje ostražitost uživatelů i správců.

Správná firemní infrastruktura

Když má společnost desítky nebo dokonce tisíce zaměstnanců, není možné ručně nakonfigurovat každé uživatelské zařízení. Nastavení se může měnit každý den, přicházejí noví zaměstnanci, jejich mobilní telefony a notebooky se rozbijí nebo ztratí. Veškerá práce administrátorů by tak spočívala v každodenním nasazování nových nastavení na zařízení zaměstnanců.

Tento problém se na stolních počítačích začal řešit už dávno. Ve světě Windows se taková správa obvykle provádí pomocí Active Directory, centralizovaných autentizačních systémů (Single Sign In) atd. Nyní ale mají všichni zaměstnanci na svých počítačích přidané smartphony, na kterých probíhá podstatná část pracovních procesů a ukládají se důležitá data. Microsoft se snažil integrovat své Windows Phone do jediného ekosystému s Windows, ale tento nápad zemřel s oficiální smrtí Windows Phone. Ve firemním prostředí si tedy v každém případě musíte vybrat mezi Androidem a iOS.

Nyní v podnikovém prostředí je koncept UEM (Unified endpoint management) v módě pro správu zařízení zaměstnanců. Jedná se o centralizovaný systém správy pro mobilní zařízení a stolní počítače.
Mobilní antiviry nefungují
Centralizovaná správa uživatelských zařízení (Unified endpoint management)

Správce systému UEM může nastavit různé zásady pro uživatelská zařízení. Například umožnit uživateli větší či menší kontrolu nad zařízením, instalaci aplikací ze zdrojů třetích stran atd.

Co umí UEM:

Spravujte všechna nastavení — správce může zcela zakázat uživateli měnit nastavení na zařízení a měnit je na dálku.

Ovládací software na zařízení — umožnit instalaci programů do zařízení a automatickou instalaci programů bez vědomí uživatele. Správce může také zablokovat nebo povolit instalaci programů z obchodu s aplikacemi nebo z nedůvěryhodných zdrojů (ze souborů APK v případě Androidu).

Vzdálené blokování — v případě ztráty telefonu může správce zařízení zablokovat nebo vymazat data. Některé systémy také umožňují nastavit automatické mazání dat, pokud telefon nekontaktuje server déle než N hodin, aby se eliminovala možnost offline pokusů o hackování, když se útočníkům podařilo vyjmout SIM kartu před odesláním příkazu k vymazání dat ze serveru. .

Sbírejte statistiky — sledovat aktivitu uživatele, dobu používání aplikace, polohu, úroveň baterie atd.

Co jsou UEM?

Pro centralizovanou správu zaměstnaneckých chytrých telefonů existují dva zásadně odlišné přístupy: v jednom případě firma nakupuje pro zaměstnance zařízení od jednoho výrobce a většinou volí systém správy od stejného dodavatele. V jiném případě zaměstnanci využívají k práci svá osobní zařízení a zde začíná zoo operačních systémů, verzí a platforem.

BYOD (Bring your own device) je koncept, ve kterém zaměstnanci používají k práci svá osobní zařízení a účty. Některé systémy centralizované správy umožňují přidat druhý pracovní účet a zcela oddělit vaše data na osobní a pracovní.

Mobilní antiviry nefungují

Apple Business Manager - Nativní systém centralizované správy společnosti Apple. Může spravovat pouze zařízení Apple, počítače s macOS a telefony iOS. Podporuje BYOD, vytváří druhé izolované prostředí s jiným účtem iCloud.

Mobilní antiviry nefungují

Správa koncových bodů Google Cloud — umožňuje spravovat telefony na Androidu a Apple iOS a také desktopy na Windows 10. Je oznámena podpora BYOD.

Mobilní antiviry nefungují
Samsung Knox UEM - Podporuje pouze mobilní zařízení Samsung. V tomto případě můžete okamžitě použít pouze Samsung Mobile Management.

Ve skutečnosti existuje mnohem více poskytovatelů UEM, ale v tomto článku je nebudeme všechny analyzovat. Hlavní věc, kterou je třeba mít na paměti, je, že takové systémy již existují a umožňují správci konfigurovat uživatelská zařízení adekvátně existujícímu modelu hrozby.

Model ohrožení

Před výběrem ochranných nástrojů musíme pochopit, před čím se chráníme, co nejhoršího se v našem konkrétním případě může stát. Relativně řečeno: naše tělo je snadno zranitelné kulkou a dokonce i vidličkou a hřebíkem, ale při odchodu z domu si nenosíme neprůstřelnou vestu. Náš model ohrožení tedy nezahrnuje riziko zastřelení cestou do práce, i když statisticky to není tak nepravděpodobné. Navíc za určitých podmínek je nošení neprůstřelné vesty zcela oprávněné.

Modely hrozeb se liší společnost od společnosti. Vezměme si například chytrý telefon kurýra, který je na cestě doručit balík klientovi. Jeho smartphone obsahuje pouze adresu aktuální dodávky a trasu na mapě. Nejhorší, co se s jeho daty může stát, je únik adres pro doručování balíků.

A tady je smartphone účetní. Má přístup do firemní sítě přes VPN, má nainstalovanou firemní klientsko-bankovní aplikaci a uchovává dokumenty s cennými informacemi. Je zřejmé, že hodnota dat na těchto dvou zařízeních se výrazně liší a měla by být chráněna odlišně.

Zachrání nás antivirus?

Za marketingovými slogany se bohužel ztrácí skutečný význam úkolů, které antivirus na mobilním zařízení plní. Pokusme se podrobně porozumět tomu, co antivirus dělá v telefonu.

Bezpečnostní audit

Většina moderních mobilních antivirů kontroluje nastavení zabezpečení v zařízení. Tento audit se někdy nazývá „kontrola reputace zařízení“. Antiviry považují zařízení za bezpečné, pokud jsou splněny čtyři podmínky:

  • Zařízení není hacknuté (root, útěk z vězení).
  • Zařízení má nakonfigurované heslo.
  • Na zařízení není povoleno ladění USB.
  • Instalace aplikací z nedůvěryhodných zdrojů (sideloading) není na zařízení povolena.

Pokud se v důsledku skenování zjistí, že zařízení není bezpečné, antivirus upozorní majitele a nabídne deaktivaci „nebezpečné“ funkce nebo vrácení továrního firmwaru, pokud se objeví známky root nebo útěk z vězení.

Podle firemních zvyklostí nestačí pouze upozornit uživatele. Nebezpečné konfigurace musí být odstraněny. Chcete-li to provést, musíte nakonfigurovat zásady zabezpečení na mobilních zařízeních pomocí systému UEM. A pokud je zjištěn root / útěk z vězení, musíte rychle odstranit podniková data ze zařízení a zablokovat jeho přístup do podnikové sítě. A to je také možné s UEM. A teprve po těchto postupech lze mobilní zařízení považovat za bezpečné.

Vyhledejte a odstraňte viry

Na rozdíl od všeobecného přesvědčení, že pro iOS neexistují žádné viry, to není pravda. Ve volné přírodě stále existují běžné exploity pro starší verze iOS, které infikovat zařízení prostřednictvím zneužití zranitelnosti prohlížeče. Zároveň je vzhledem k architektuře iOS vývoj antivirů pro tuto platformu nemožný. Hlavním důvodem je, že aplikace nemají přístup k seznamu nainstalovaných aplikací a mají mnoho omezení při přístupu k souborům. Pouze UEM může získat seznam nainstalovaných aplikací pro iOS, ale ani UEM nemá přístup k souborům.

U Androidu je situace jiná. Aplikace mohou získat informace o aplikacích nainstalovaných v zařízení. Mohou dokonce přistupovat k jejich distribucím (například Apk Extractor a jeho analogy). Aplikace pro Android mají také možnost přístupu k souborům (například Total Commander atd.). Aplikace pro Android lze dekompilovat.

S takovými schopnostmi vypadá následující antivirový algoritmus logicky:

  • Kontrola aplikací
  • Získejte seznam nainstalovaných aplikací a kontrolní součty (CS) jejich distribucí.
  • Zkontrolujte aplikace a jejich CS nejprve v místní a poté v globální databázi.
  • Pokud je aplikace neznámá, přeneste její distribuci do globální databáze pro analýzu a dekompilaci.

  • Kontrola souborů, hledání virových signatur
  • Zkontrolujte soubory CS v místní a poté v globální databázi.
  • Zkontrolujte soubory na nebezpečný obsah (skripty, exploity atd.) pomocí místní a poté globální databáze.
  • Pokud je zjištěn malware, upozorněte uživatele a/nebo zablokujte přístup uživatele k malwaru a/nebo předejte informace UEM. Je nutné přenést informace do UEM, protože antivirus nemůže samostatně odstranit malware ze zařízení.

Největší obavou je možnost přenosu softwarových distribucí ze zařízení na externí server. Bez toho není možné implementovat „analýzu chování“, kterou tvrdí výrobci antivirů, protože Na zařízení nemůžete aplikaci spustit v samostatném „sandboxu“ ani ji dekompilovat (jak efektivní je při použití mlžení, to je samostatná komplexní otázka). Na druhou stranu se firemní aplikace mohou instalovat na mobilní zařízení zaměstnanců, která antivirus nezná, protože nejsou na Google Play. Tyto mobilní aplikace mohou obsahovat citlivá data, která mohou způsobit, že tyto aplikace nebudou uvedeny ve veřejném obchodě. Předávání takových distribucí výrobci antiviru se z bezpečnostního hlediska jeví jako nesprávné. Má smysl je přidávat k výjimkám, ale o existenci takového mechanismu zatím nevím.

Malware bez oprávnění root může

1. Nakreslete své vlastní neviditelné okno na horní část aplikace nebo implementujte vlastní klávesnici pro kopírování uživatelem zadaných údajů – parametry účtu, bankovní karty atd. Nedávným příkladem je zranitelnost. CVE-2020-0096, s jehož pomocí je možné nahradit aktivní obrazovku aplikace a získat tak přístup k údajům zadaným uživatelem. Pro uživatele to znamená možnost odcizení účtu Google s přístupem k záloze zařízení a údajům o bankovní kartě. Pro organizaci je zase důležité, aby o svá data nepřišla. Pokud jsou data v soukromé paměti aplikace a nejsou obsažena v záloze Google, malware k nim nebude mít přístup.

2. Přístup k datům ve veřejných adresářích – soubory ke stažení, dokumenty, galerie. Do těchto adresářů se nedoporučuje ukládat informace o společnosti, protože k nim může přistupovat jakákoli aplikace. A samotný uživatel bude vždy moci sdílet důvěrný dokument pomocí jakékoli dostupné aplikace.

3. Obtěžujte uživatele reklamou, těžte bitcoiny, buďte součástí botnetu atd.. To může mít negativní dopad na výkon uživatele a/nebo zařízení, ale nebude to představovat hrozbu pro podniková data.

Malware s právy root může potenciálně dělat cokoli. Jsou vzácné, protože hackování moderních zařízení Android pomocí aplikace je téměř nemožné. Naposledy byla taková zranitelnost objevena v roce 2016. To je senzační Dirty COW, která dostala číslo CVE-2016-5195. Klíčové je zde to, že pokud klient zjistí známky kompromitace UEM, vymaže ze zařízení všechny podnikové informace, takže pravděpodobnost úspěšné krádeže dat pomocí takového malwaru je v podnikovém světě nízká.

Škodlivé soubory mohou poškodit mobilní zařízení i podnikové systémy, ke kterým má přístup. Podívejme se na tyto scénáře podrobněji.

Poškození mobilního zařízení může být způsobeno například tím, že si na něj stáhnete obrázek, který po otevření nebo při pokusu o instalaci tapety změní zařízení na „cihlu“ nebo jej restartuje. To s největší pravděpodobností poškodí zařízení nebo uživatele, ale neovlivní to soukromí dat. I když existují výjimky.

O zranitelnosti se nedávno diskutovalo CVE-2020-8899. Tvrdilo se, že by mohl být použit k získání přístupu do konzole mobilních zařízení Samsung pomocí infikovaného obrázku zaslaného prostřednictvím e-mailu, instant messengeru nebo MMS. Ačkoli přístup pomocí konzole znamená mít přístup pouze k datům ve veřejných adresářích, kde by citlivé informace neměly být, dochází k ohrožení soukromí osobních údajů uživatelů, což uživatele vyděsilo. I když ve skutečnosti je možné útočit pouze na zařízení pomocí MMS. A pro úspěšný útok je potřeba odeslat 75 až 450 (!) zpráv. Antivirus zde bohužel nepomůže, protože nemá přístup k protokolu zpráv. Aby se tomu zabránilo, existují pouze dvě možnosti. Aktualizujte OS nebo zablokujte MMS. Na první možnost můžete čekat dlouho a nečekat, protože... Výrobci zařízení nevydávají aktualizace pro všechna zařízení. Vypnutí příjmu MMS je v tomto případě mnohem jednodušší.

Soubory přenášené z mobilních zařízení mohou poškodit podnikové systémy. Například v mobilním zařízení je infikovaný soubor, který nemůže zařízení poškodit, ale může infikovat počítač se systémem Windows. Uživatel pošle takový soubor emailem svému kolegovi. Otevře ho na PC a tím ho může infikovat. Tomuto vektoru útoku ale stojí v cestě minimálně dva antiviry – jeden na e-mailovém serveru, druhý na PC příjemce. Přidání třetího antiviru do tohoto řetězce na mobilním zařízení se zdá být přímo paranoidní.

Jak vidíte, největší hrozbou v podnikovém digitálním světě je malware bez oprávnění root. Odkud mohou na mobilním zařízení pocházet?

Nejčastěji se instalují pomocí sideloadingu, adb nebo obchodů třetích stran, což by mělo být zakázáno na mobilních zařízeních s přístupem do firemní sítě. Malware se může dostat dvěma způsoby: z Google Play nebo z UEM.

Před publikováním na Google Play procházejí všechny aplikace povinným ověřením. Ale u aplikací s malým počtem instalací se kontroly nejčastěji provádějí bez lidského zásahu, pouze v automatickém režimu. Proto se někdy malware dostane do Google Play, ale stále ne často. Antivir, jehož databáze jsou včas aktualizovány, bude schopen detekovat aplikace s malwarem v zařízení dříve, než Google Play Protect, který stále zaostává v rychlosti aktualizace antivirových databází.

UEM umí nainstalovat libovolnou aplikaci na mobilní zařízení, vč. malware, takže každá aplikace musí být nejprve prohledána. Aplikace lze kontrolovat jak během jejich vývoje pomocí nástrojů pro statickou a dynamickou analýzu, tak bezprostředně před jejich distribucí pomocí specializovaných sandboxů a/nebo antivirových řešení. Je důležité, aby byla aplikace před nahráním do UEM jednou ověřena. V tomto případě tedy není antivirus na mobilním zařízení potřeba.

Ochrana sítě

V závislosti na výrobci antiviru může vaše ochrana sítě nabízet jednu nebo více z následujících funkcí.

Filtrování URL se používá k:

  • Blokování provozu podle kategorií zdrojů. Například zakázat sledování zpráv nebo jiného nefiremního obsahu před obědem, kdy je zaměstnanec nejefektivnější. V praxi blokování nejčastěji funguje s mnoha omezeními - výrobci antivirů ne vždy zvládnou aktualizovat adresáře kategorií zdrojů včas, s ohledem na přítomnost mnoha „zrcadel“. Navíc existují anonymizéry a Opera VPN, které většinou nejsou blokovány.
  • Ochrana proti phishingu nebo spoofingu cílových hostitelů. Za tímto účelem jsou adresy URL, ke kterým zařízení přistupuje, nejprve porovnány s antivirovou databází. Odkazy, stejně jako zdroje, na které vedou (včetně možných vícenásobných přesměrování), jsou kontrolovány s databází známých phishingových stránek. Mezi mobilním zařízením a důvěryhodným serverem se také ověřuje název domény, certifikát a IP adresa. Pokud klient a server přijímají odlišná data, jedná se buď o MITM („muž uprostřed“), nebo o blokování provozu pomocí stejného antiviru nebo různých druhů proxy a webových filtrů v síti, ke které je mobilní zařízení připojeno. Je těžké s jistotou říci, že je někdo uprostřed.

Pro získání přístupu k mobilnímu provozu antivirus buduje VPN nebo využívá schopnosti Accessibility API (API pro aplikace určené pro osoby se zdravotním postižením). Současný provoz několika VPN na mobilním zařízení je nemožný, takže ochrana sítě proti antivirům, které si budují vlastní VPN, není ve firemním světě použitelná. VPN z antiviru prostě nebude fungovat společně s firemní VPN, která se používá pro přístup do firemní sítě.

Poskytnutí přístupu antiviru k API Accessibility představuje další nebezpečí. Přístup k rozhraní Accessibility API v podstatě znamená oprávnění dělat za uživatele cokoli – vidět, co uživatel vidí, provádět akce s aplikacemi místo uživatele atd. Vzhledem k tomu, že uživatel musí antiviru výslovně udělit takový přístup, s největší pravděpodobností to odmítne. Nebo si v případě donucení koupí jiný telefon bez antiviru.

Firewall

Pod tímto obecným názvem se skrývají tři funkce:

  • Sbírka statistik o využití sítě rozdělená podle aplikace a typu sítě (Wi-Fi, mobilní operátor). Většina výrobců zařízení Android poskytuje tyto informace v aplikaci Nastavení. Duplikovat jej v mobilním antivirovém rozhraní se zdá nadbytečné. Souhrnné informace o všech zařízeních mohou být zajímavé. Je úspěšně shromažďován a analyzován systémy UEM.
  • Omezení mobilního provozu – nastavení limitu a upozornění na jeho dosažení. Pro většinu uživatelů zařízení Android jsou tyto funkce dostupné v aplikaci Nastavení. Centralizované nastavení omezení je úkolem UEM, nikoli antiviru.
  • Vlastně firewall. Nebo jinými slovy blokování přístupu k určitým IP adresám a portům. S přihlédnutím k DDNS na všech populárních zdrojích a nutnosti povolit VPN pro tyto účely, která, jak je psáno výše, nemůže fungovat ve spojení s hlavní VPN, se funkce jeví v podnikové praxi jako nepoužitelná.

Kontrola plné moci Wi-Fi

Mobilní antiviry dokážou vyhodnotit zabezpečení Wi-Fi sítí, ke kterým se mobilní zařízení připojuje. Lze předpokládat, že se kontroluje přítomnost a síla šifrování. Všechny moderní programy přitom k přenosu citlivých dat používají šifrování. Pokud je tedy nějaký program zranitelný na úrovni spojení, pak je také nebezpečné jej používat prostřednictvím jakýchkoli internetových kanálů, nejen prostřednictvím veřejné Wi-Fi.
Veřejná Wi-Fi, včetně sítě bez šifrování, proto není o nic nebezpečnější a o nic méně bezpečná než jakékoli jiné nedůvěryhodné kanály pro přenos dat bez šifrování.

Ochrana proti spamu

Ochrana zpravidla spočívá ve filtrování příchozích hovorů podle seznamu určeného uživatelem nebo podle databáze známých spammerů, kteří donekonečna otravují pojištění, půjčky a pozvánky do divadla. Přestože během sebeizolace nevolají, brzy začnou znovu. Filtrování podléhají pouze hovory. Zprávy na aktuálních zařízeních Android nejsou filtrovány. Vzhledem k pravidelnému obměňování spammerů a nemožnosti ochrany textových kanálů (SMS, instant messenger) je funkčnost spíše marketingového než praktického charakteru.

Ochrana proti krádeži

Provádění vzdálených akcí s mobilním zařízením v případě ztráty nebo odcizení. Alternativa ke službám Find My iPhone a Find My Device od Apple, respektive Google. Na rozdíl od svých analogů nemohou služby výrobců antivirů zablokovat zařízení, pokud se útočníkovi podařilo obnovit tovární nastavení. Pokud se tak ale ještě nestalo, můžete se zařízením na dálku provést následující:

  • Blok. Ochrana před prostoduchým zlodějem, protože to lze snadno provést resetováním zařízení do továrního nastavení prostřednictvím obnovy.
  • Zjistěte souřadnice zařízení. Užitečné, když bylo zařízení nedávno ztraceno.
  • Pokud je zařízení v tichém režimu, zapněte hlasité pípnutí, které vám pomůže najít zařízení.
  • Resetujte zařízení do továrního nastavení. Dává to smysl, když uživatel rozpoznal zařízení jako nenávratně ztracené, ale nechce, aby byla prozrazena data na něm uložená.
  • Udělat fotku. Vyfoťte útočníka, pokud drží telefon v rukou. Nejspornější funkcí je, že pravděpodobnost, že by útočník obdivoval telefon za dobrého osvětlení, je nízká. Přítomnost aplikace, která může v tichosti ovládat fotoaparát smartphonu, pořizovat fotografie a odesílat je na svůj server, však vyvolává důvodné obavy.

Vzdálené provádění příkazů je základní v každém systému UEM. Jediné, co jim chybí, je fotografování na dálku. Toto je spolehlivý způsob, jak přimět uživatele, aby po skončení pracovního dne vyndali baterie z telefonů a vložili je do Faradayovy tašky.

Funkce ochrany proti krádeži v mobilních antivirech jsou dostupné pouze pro Android. Pro iOS může takové akce provádět pouze UEM. Na zařízení iOS může být pouze jeden UEM – to je architektonická funkce iOS.

Závěry

  1. Situace, kdy si uživatel může do telefonu nainstalovat malware, NENÍ PŘIJATELNÁ.
  2. Správně nakonfigurované UEM na podnikovém zařízení eliminuje potřebu antiviru.
  3. Pokud se zneužijí 0denní zranitelnosti operačního systému, je antivirus k ničemu. Správce může pouze upozornit, že je zařízení zranitelné.
  4. Antivirus nemůže určit, zda je zranitelnost zneužívána. Stejně jako vydání aktualizace pro zařízení, pro které již výrobce bezpečnostní aktualizace nevydává. Maximálně je to rok nebo dva.
  5. Pokud pomineme požadavky regulátorů a marketingu, pak jsou firemní mobilní antiviry potřeba pouze na zařízeních s Androidem, kde mají uživatelé přístup ke Google Play a instalaci programů ze zdrojů třetích stran. V ostatních případech není účinnost používání antivirů větší než placebo.

Mobilní antiviry nefungují

Zdroj: www.habr.com

Přidat komentář