Τα κινητά antivirus δεν λειτουργούν

TL? DR εάν οι εταιρικές κινητές συσκευές σας απαιτούν ένα πρόγραμμα προστασίας από ιούς, τότε τα κάνετε όλα λάθος και το πρόγραμμα προστασίας από ιούς δεν θα σας βοηθήσει.

Αυτή η ανάρτηση είναι το αποτέλεσμα μιας έντονης συζήτησης σχετικά με το εάν χρειάζεται ένα antivirus σε ένα εταιρικό κινητό τηλέφωνο, σε ποιες περιπτώσεις λειτουργεί και σε ποιες περιπτώσεις είναι άχρηστο. Το άρθρο εξετάζει τα μοντέλα απειλών από τα οποία, θεωρητικά, ένα πρόγραμμα προστασίας από ιούς θα πρέπει να προστατεύει.

Οι προμηθευτές προστασίας από ιούς συχνά καταφέρνουν να πείσουν τους εταιρικούς πελάτες ότι ένα πρόγραμμα προστασίας από ιούς θα βελτιώσει σημαντικά την ασφάλειά τους, αλλά στις περισσότερες περιπτώσεις πρόκειται για απατηλή προστασία, η οποία μειώνει μόνο την επαγρύπνηση τόσο των χρηστών όσο και των διαχειριστών.

Η σωστή εταιρική υποδομή

Όταν μια εταιρεία έχει δεκάδες ή και χιλιάδες υπαλλήλους, είναι αδύνατο να ρυθμίσετε με μη αυτόματο τρόπο τις παραμέτρους κάθε συσκευής χρήστη. Οι ρυθμίσεις μπορούν να αλλάζουν κάθε μέρα, νέοι υπάλληλοι έρχονται, τα κινητά τηλέφωνα και οι φορητοί υπολογιστές τους σπάνε ή χάνονται. Ως αποτέλεσμα, όλη η εργασία των διαχειριστών θα συνίστατο στην καθημερινή ανάπτυξη νέων ρυθμίσεων στις συσκευές των εργαζομένων.

Αυτό το πρόβλημα έχει αντιμετωπιστεί σε επιτραπέζιους υπολογιστές εδώ και πολύ καιρό. WindowsΣυνήθως, η διαχείριση αυτή επιτυγχάνεται μέσω του Active Directory, κεντρικών συστημάτων ελέγχου ταυτότητας (Single Sign In) κ.λπ. Αλλά τώρα, όλοι οι εργαζόμενοι έχουν smartphones εκτός από τους υπολογιστές τους, όπου εκτελείται ένα σημαντικό μέρος των εργασιακών διαδικασιών και αποθηκεύονται σημαντικά δεδομένα. Η Microsoft προσπάθησε να ενσωματώσει τα τηλέφωνά της σε Windows Τηλεφωνήστε σε ένα ενιαίο οικοσύστημα με Windows, αλλά αυτή η ιδέα πέθανε μαζί με τον επίσημο θάνατο Windows Τηλέφωνο. Επομένως, σε ένα εταιρικό περιβάλλον, πρέπει πάντα να επιλέξετε μεταξύ Android και iOS.

Τώρα σε ένα εταιρικό περιβάλλον, η έννοια του UEM (Unified endpoint management) είναι στη μόδα για τη διαχείριση συσκευών εργαζομένων. Αυτό είναι ένα κεντρικό σύστημα διαχείρισης για φορητές συσκευές και επιτραπέζιους υπολογιστές.

Κεντρική διαχείριση συσκευών χρήστη (Ενοποιημένη διαχείριση τελικού σημείου)

Ο διαχειριστής συστήματος UEM μπορεί να ορίσει διαφορετικές πολιτικές για συσκευές χρήστη. Για παράδειγμα, επιτρέποντας στον χρήστη περισσότερο ή λιγότερο έλεγχο της συσκευής, εγκατάσταση εφαρμογών από πηγές τρίτων κ.λπ.

Τι μπορεί να κάνει η UEM:

Διαχειριστείτε όλες τις ρυθμίσεις — ο διαχειριστής μπορεί να απαγορεύσει εντελώς στον χρήστη να αλλάξει τις ρυθμίσεις στη συσκευή και να τις αλλάξει εξ αποστάσεως.

Λογισμικό ελέγχου στη συσκευή — επιτρέπουν την εγκατάσταση προγραμμάτων στη συσκευή και την αυτόματη εγκατάσταση προγραμμάτων χωρίς τη γνώση του χρήστη. Ο διαχειριστής μπορεί επίσης να αποκλείσει ή να επιτρέψει την εγκατάσταση προγραμμάτων από το κατάστημα εφαρμογών ή από μη αξιόπιστες πηγές (από αρχεία APK στην περίπτωση Android).

Απομακρυσμένος αποκλεισμός — εάν χαθεί το τηλέφωνο, ο διαχειριστής μπορεί να αποκλείσει τη συσκευή ή να διαγράψει τα δεδομένα. Ορισμένα συστήματα σάς επιτρέπουν επίσης να ρυθμίσετε την αυτόματη διαγραφή δεδομένων εάν το τηλέφωνο δεν έχει επικοινωνήσει με τον διακομιστή για περισσότερες από N ώρες, για να εξαλείψει την πιθανότητα προσπαθειών hacking εκτός σύνδεσης όταν οι εισβολείς κατάφεραν να αφαιρέσουν την κάρτα SIM πριν σταλεί η εντολή εκκαθάρισης δεδομένων από τον διακομιστή .

Συλλέξτε στατιστικά στοιχεία — παρακολουθήστε τη δραστηριότητα των χρηστών, τον χρόνο χρήσης της εφαρμογής, την τοποθεσία, το επίπεδο μπαταρίας κ.λπ.

Τι είναι τα UEM;

Υπάρχουν δύο θεμελιωδώς διαφορετικές προσεγγίσεις για την κεντρική διαχείριση των smartphone των εργαζομένων: σε μία περίπτωση, η εταιρεία αγοράζει συσκευές από έναν κατασκευαστή για υπαλλήλους και συνήθως επιλέγει ένα σύστημα διαχείρισης από τον ίδιο προμηθευτή. Σε άλλη περίπτωση, οι εργαζόμενοι χρησιμοποιούν τις προσωπικές τους συσκευές για τη δουλειά τους και εδώ ξεκινά ο ζωολογικός κήπος των λειτουργικών συστημάτων, των εκδόσεων και των πλατφορμών.

BYOD (Φέρτε τη δική σας συσκευή) είναι μια έννοια στην οποία οι εργαζόμενοι χρησιμοποιούν τις προσωπικές συσκευές και τους λογαριασμούς τους για να εργαστούν. Ορισμένα συστήματα κεντρικής διαχείρισης σάς επιτρέπουν να προσθέσετε έναν δεύτερο λογαριασμό εργασίας και να διαχωρίσετε πλήρως τα δεδομένα σας σε προσωπικά και εργασιακά.

Διευθυντής επιχείρησης Apple — Το εγγενές κεντρικό σύστημα διαχείρισης της Apple. Μπορεί να διαχειρίζεται μόνο συσκευές Apple, υπολογιστές με macOS και τηλέφωνα iOS. Υποστηρίζεται η λειτουργία BYOD και μπορεί να δημιουργηθεί ένα δεύτερο απομονωμένο περιβάλλον με διαφορετικό λογαριασμό iCloud.

Διαχείριση τελικών σημείων Google Cloud - σας επιτρέπει να ελέγχετε τα τηλέφωνα Android και Apple iOS, καθώς και επιτραπέζιους υπολογιστές σε Windows 10Δηλώνεται υποστήριξη BYOD.

Samsung Knox UEM - Υποστηρίζει μόνο κινητές συσκευές Samsung. Σε αυτή την περίπτωση, μπορείτε να χρησιμοποιήσετε αμέσως μόνο Samsung Mobile Management.

Στην πραγματικότητα, υπάρχουν πολλοί περισσότεροι πάροχοι UEM, αλλά δεν θα τους αναλύσουμε όλους σε αυτό το άρθρο. Το κύριο πράγμα που πρέπει να έχετε κατά νου είναι ότι τέτοια συστήματα υπάρχουν ήδη και επιτρέπουν στον διαχειριστή να διαμορφώσει τις συσκευές χρήστη επαρκώς στο υπάρχον μοντέλο απειλής.

Μοντέλο απειλής

Πριν επιλέξουμε εργαλεία προστασίας, πρέπει να καταλάβουμε από τι προστατεύουμε τον εαυτό μας, τι χειρότερο μπορεί να συμβεί στη συγκεκριμένη περίπτωσή μας. Σχετικά μιλώντας: το σώμα μας είναι εύκολα ευάλωτο σε μια σφαίρα, ακόμη και σε ένα πιρούνι και ένα καρφί, αλλά δεν φοράμε αλεξίσφαιρο γιλέκο όταν βγαίνουμε από το σπίτι. Επομένως, το μοντέλο απειλής μας δεν περιλαμβάνει τον κίνδυνο πυροβολισμού στο δρόμο για τη δουλειά, αν και στατιστικά αυτό δεν είναι τόσο απίθανο. Επιπλέον, υπό ορισμένες συνθήκες, η χρήση αλεξίσφαιρου γιλέκου είναι απολύτως δικαιολογημένη.

Τα μοντέλα απειλών διαφέρουν από εταιρεία σε εταιρεία. Ας πάρουμε, για παράδειγμα, το smartphone ενός courier που είναι καθ' οδόν για να παραδώσει ένα πακέτο σε έναν πελάτη. Το smartphone του περιέχει μόνο τη διεύθυνση της τρέχουσας παράδοσης και τη διαδρομή στον χάρτη. Το χειρότερο πράγμα που μπορεί να συμβεί στα δεδομένα του είναι μια διαρροή διευθύνσεων παράδοσης δεμάτων.

Και εδώ είναι το smartphone του λογιστή. Έχει πρόσβαση στο εταιρικό δίκτυο μέσω VPN, έχει εγκαταστήσει μια εφαρμογή εταιρικού πελάτη-τράπεζας και αποθηκεύει έγγραφα με πολύτιμες πληροφορίες. Προφανώς, η αξία των δεδομένων σε αυτές τις δύο συσκευές διαφέρει σημαντικά και θα πρέπει να προστατεύονται διαφορετικά.

Θα μας σώσει το antivirus;

Δυστυχώς, πίσω από τα σλόγκαν μάρκετινγκ χάνεται το πραγματικό νόημα των εργασιών που εκτελεί ένα πρόγραμμα προστασίας από ιούς σε μια φορητή συσκευή. Ας προσπαθήσουμε να καταλάβουμε λεπτομερώς τι κάνει το antivirus στο τηλέφωνο.

Έλεγχος ασφαλείας

Τα περισσότερα σύγχρονα προγράμματα προστασίας από ιούς για κινητά ελέγχουν τις ρυθμίσεις ασφαλείας στη συσκευή. Αυτός ο έλεγχος ονομάζεται μερικές φορές «έλεγχος φήμης συσκευής». Τα προγράμματα προστασίας από ιούς θεωρούν μια συσκευή ασφαλή εάν πληρούνται τέσσερις προϋποθέσεις:

• Η συσκευή δεν έχει χακαριστεί (root, jailbreak).
• Η συσκευή έχει διαμορφωμένο κωδικό πρόσβασης.
• Ο εντοπισμός σφαλμάτων USB δεν είναι ενεργοποιημένος στη συσκευή.
• Δεν επιτρέπεται η εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές (sideloading) στη συσκευή.

Εάν, ως αποτέλεσμα της σάρωσης, διαπιστωθεί ότι η συσκευή δεν είναι ασφαλής, το πρόγραμμα προστασίας από ιούς θα ειδοποιήσει τον κάτοχο και θα προσφέρει να απενεργοποιήσει την «επικίνδυνη» λειτουργία ή να επιστρέψει το εργοστασιακό υλικολογισμικό εάν υπάρχουν ενδείξεις root ή jailbreak.

Σύμφωνα με την εταιρική συνήθεια, δεν αρκεί απλώς η ειδοποίηση του χρήστη. Οι μη ασφαλείς διαμορφώσεις πρέπει να εξαλειφθούν. Για να το κάνετε αυτό, πρέπει να διαμορφώσετε τις πολιτικές ασφαλείας σε κινητές συσκευές χρησιμοποιώντας το σύστημα UEM. Και αν εντοπιστεί root / jailbreak, πρέπει να αφαιρέσετε γρήγορα εταιρικά δεδομένα από τη συσκευή και να αποκλείσετε την πρόσβασή της στο εταιρικό δίκτυο. Και αυτό είναι επίσης δυνατό με το UEM. Και μόνο μετά από αυτές τις διαδικασίες μπορεί η κινητή συσκευή να θεωρηθεί ασφαλής.

Αναζήτηση και αφαίρεση ιών

Σε αντίθεση με τη δημοφιλή πεποίθηση ότι δεν υπάρχουν ιοί για iOS, αυτό δεν είναι αλήθεια. Υπάρχουν ακόμα κοινά exploits στη φύση για παλαιότερες εκδόσεις του iOS που μολύνουν συσκευές μέσω της εκμετάλλευσης τρωτών σημείων του προγράμματος περιήγησης. Ταυτόχρονα, λόγω της αρχιτεκτονικής του iOS, η ανάπτυξη antivirus για αυτή την πλατφόρμα είναι αδύνατη. Ο κύριος λόγος είναι ότι οι εφαρμογές δεν μπορούν να έχουν πρόσβαση στη λίστα των εγκατεστημένων εφαρμογών και έχουν πολλούς περιορισμούς κατά την πρόσβαση σε αρχεία. Μόνο το UEM μπορεί να λάβει τη λίστα με τις εγκατεστημένες εφαρμογές iOS, αλλά ακόμη και το UEM δεν μπορεί να έχει πρόσβαση στα αρχεία.

С Android Η κατάσταση είναι διαφορετική. Οι εφαρμογές μπορούν να λαμβάνουν πληροφορίες σχετικά με εφαρμογές που είναι εγκατεστημένες στη συσκευή. Μπορούν ακόμη και να έχουν πρόσβαση στις διανομές τους (για παράδειγμα, το Apk Extractor και τα ανάλογά του). Android-οι εφαρμογές έχουν επίσης τη δυνατότητα πρόσβασης σε αρχεία (για παράδειγμα, Total Commander, κ.λπ.). Android- οι εφαρμογές μπορούν να αποσυμπιληθούν.

Με τέτοιες δυνατότητες, ο ακόλουθος αλγόριθμος προστασίας από ιούς φαίνεται λογικός:

• Επαλήθευση εφαρμογής
• Λάβετε μια λίστα με εγκατεστημένες εφαρμογές και αθροίσματα ελέγχου (CS) των διανομών τους.
• Ελέγξτε τις εφαρμογές και το CS τους πρώτα στην τοπική και μετά στην καθολική βάση δεδομένων.
• Εάν η εφαρμογή είναι άγνωστη, μεταφέρετε τη διανομή της στην παγκόσμια βάση δεδομένων για ανάλυση και αποσυμπίληση.

• Έλεγχος αρχείων, αναζήτηση υπογραφών ιών
• Ελέγξτε τα αρχεία CS στην τοπική και μετά στην καθολική βάση δεδομένων.
• Ελέγξτε τα αρχεία για μη ασφαλές περιεχόμενο (σενάρια, εκμεταλλεύσεις κ.λπ.) χρησιμοποιώντας μια τοπική και μετά μια καθολική βάση δεδομένων.
• Εάν εντοπιστεί κακόβουλο λογισμικό, ειδοποιήστε τον χρήστη ή/και αποκλείστε την πρόσβαση του χρήστη στο κακόβουλο λογισμικό ή/και προωθήστε τις πληροφορίες στο UEM. Είναι απαραίτητο να μεταφέρετε πληροφορίες στο UEM επειδή το antivirus δεν μπορεί να αφαιρέσει ανεξάρτητα κακόβουλο λογισμικό από τη συσκευή.

Η μεγαλύτερη ανησυχία είναι η δυνατότητα μεταφοράς διανομών λογισμικού από τη συσκευή σε εξωτερικό διακομιστή. Χωρίς αυτό, είναι αδύνατο να εφαρμοστεί η «ανάλυση συμπεριφοράς» που ισχυρίζονται οι κατασκευαστές προστασίας από ιούς, επειδή Στη συσκευή, δεν μπορείτε να εκτελέσετε την εφαρμογή σε ξεχωριστό "sandbox" ή να την απομεταγλωττίσετε (το πόσο αποτελεσματική είναι όταν χρησιμοποιείτε τη συσκότιση είναι μια ξεχωριστή περίπλοκη ερώτηση). Από την άλλη πλευρά, οι εταιρικές εφαρμογές ενδέχεται να εγκατασταθούν σε κινητές συσκευές εργαζομένων που είναι άγνωστες στο πρόγραμμα προστασίας από ιούς επειδή δεν βρίσκονται στο Google Play. Αυτές οι εφαρμογές για κινητά ενδέχεται να περιέχουν ευαίσθητα δεδομένα που μπορεί να κάνουν αυτές τις εφαρμογές να μην αναφέρονται στο δημόσιο κατάστημα. Η μεταφορά τέτοιων διανομών στον κατασκευαστή προστασίας από ιούς φαίνεται λανθασμένη από άποψη ασφάλειας. Είναι λογικό να τα προσθέσουμε σε εξαιρέσεις, αλλά δεν γνωρίζω ακόμη για την ύπαρξη τέτοιου μηχανισμού.

Το κακόβουλο λογισμικό χωρίς δικαιώματα root μπορεί

1. Σχεδιάστε το δικό σας αόρατο παράθυρο πάνω από την εφαρμογή ή εφαρμόστε το δικό σας πληκτρολόγιο για να αντιγράψετε δεδομένα που έχουν εισαχθεί από τον χρήστη - παραμέτρους λογαριασμού, τραπεζικές κάρτες κ.λπ. Ένα πρόσφατο παράδειγμα είναι η ευπάθεια. CVE-2020-0096, με τη βοήθεια του οποίου είναι δυνατή η αντικατάσταση της ενεργής οθόνης μιας εφαρμογής και έτσι η πρόσβαση στα δεδομένα που έχουν εισαχθεί από τον χρήστη. Για τον χρήστη, αυτό σημαίνει τη δυνατότητα κλοπής ενός λογαριασμού Google με πρόσβαση σε εφεδρικό αντίγραφο συσκευής και δεδομένα τραπεζικής κάρτας. Για τον οργανισμό, με τη σειρά του, είναι σημαντικό να μην χάσει τα δεδομένα του. Εάν τα δεδομένα βρίσκονται στην ιδιωτική μνήμη της εφαρμογής και δεν περιέχονται σε ένα αντίγραφο ασφαλείας της Google, τότε το κακόβουλο λογισμικό δεν θα έχει πρόσβαση σε αυτά.

2. Πρόσβαση σε δεδομένα σε δημόσιους καταλόγους – λήψεις, έγγραφα, συλλογή. Δεν συνιστάται η αποθήκευση πληροφοριών εταιρικής αξίας σε αυτούς τους καταλόγους, επειδή είναι προσβάσιμοι από οποιαδήποτε εφαρμογή. Και ο ίδιος ο χρήστης θα μπορεί πάντα να μοιράζεται ένα εμπιστευτικό έγγραφο χρησιμοποιώντας οποιαδήποτε διαθέσιμη εφαρμογή.

3. Ενοχλήστε τον χρήστη με διαφημίσεις, εξόρυξη bitcoins, συμμετοχή σε botnet κ.λπ.. Αυτό μπορεί να έχει αρνητικό αντίκτυπο στην απόδοση του χρήστη ή/και της συσκευής, αλλά δεν θα αποτελέσει απειλή για τα εταιρικά δεδομένα.

Τα κακόβουλα προγράμματα με δικαιώματα root μπορούν να κάνουν τα πάντα. Είναι σπάνια επειδή τα σύγχρονα Android-συσκευές που χρησιμοποιούν την εφαρμογή είναι πρακτικά αδύνατη. Η τελευταία φορά που ανακαλύφθηκε παρόμοιο κενό ασφαλείας ήταν το 2016. Αυτό ήταν το διαβόητο Dirty COW, στο οποίο είχε εκχωρηθεί ο αριθμός CVE-2016-5195. Το κλειδί εδώ είναι ότι εάν εντοπίσει σημάδια συμβιβασμού UEM, ο πελάτης θα διαγράψει όλες τις εταιρικές πληροφορίες από τη συσκευή, επομένως η πιθανότητα επιτυχούς κλοπής δεδομένων με χρήση τέτοιου κακόβουλου λογισμικού στον εταιρικό κόσμο είναι χαμηλή.

Τα κακόβουλα αρχεία μπορούν να βλάψουν τόσο την κινητή συσκευή όσο και τα εταιρικά συστήματα στα οποία έχει πρόσβαση. Ας δούμε αυτά τα σενάρια με περισσότερες λεπτομέρειες.

Μπορεί να προκληθεί ζημιά σε μια κινητή συσκευή, για παράδειγμα, εάν κάνετε λήψη μιας εικόνας σε αυτήν, η οποία, όταν ανοίγει ή όταν προσπαθείτε να εγκαταστήσετε ταπετσαρία, μετατρέπει τη συσκευή σε "τούβλο" ή την επανεκκινεί. Αυτό πιθανότατα θα βλάψει τη συσκευή ή τον χρήστη, αλλά δεν θα επηρεάσει το απόρρητο των δεδομένων. Αν και υπάρχουν εξαιρέσεις.

Η ευπάθεια συζητήθηκε πρόσφατα CVE-2020-8899. Υποστηρίχθηκε ότι θα μπορούσε να χρησιμοποιηθεί για την απόκτηση πρόσβασης στην κονσόλα των κινητών συσκευών Samsung χρησιμοποιώντας μια μολυσμένη εικόνα που αποστέλλεται μέσω email, instant messenger ή MMS. Παρόλο που η πρόσβαση στην κονσόλα σημαίνει τη δυνατότητα πρόσβασης σε δεδομένα μόνο σε δημόσιους καταλόγους όπου δεν θα έπρεπε να υπάρχουν ευαίσθητες πληροφορίες, το απόρρητο των προσωπικών δεδομένων των χρηστών τίθεται σε κίνδυνο και αυτό έχει τρομάξει τους χρήστες. Αν και στην πραγματικότητα, είναι δυνατή μόνο η επίθεση σε συσκευές χρησιμοποιώντας MMS. Και για μια επιτυχημένη επίθεση πρέπει να στείλετε από 75 έως 450 (!) μηνύματα. Το antivirus, δυστυχώς, δεν θα βοηθήσει εδώ, επειδή δεν έχει πρόσβαση στο αρχείο καταγραφής μηνυμάτων. Για να προστατευτείτε από αυτό, υπάρχουν μόνο δύο επιλογές. Ενημερώστε το λειτουργικό σύστημα ή αποκλείστε τα MMS. Μπορείτε να περιμένετε πολύ για την πρώτη επιλογή και να μην περιμένετε, γιατί... Οι κατασκευαστές συσκευών δεν κυκλοφορούν ενημερώσεις για όλες τις συσκευές. Η απενεργοποίηση της λήψης MMS σε αυτήν την περίπτωση είναι πολύ πιο εύκολη.

Τα αρχεία που μεταφέρονται από κινητές συσκευές μπορούν να προκαλέσουν ζημιά στα εταιρικά συστήματα. Για παράδειγμα, μια κινητή συσκευή μπορεί να περιέχει ένα μολυσμένο αρχείο που μπορεί να μην προκαλέσει βλάβη στη συσκευή, αλλά μπορεί να μολύνει Windows- υπολογιστή. Ένας χρήστης στέλνει ένα τέτοιο αρχείο μέσω email σε έναν συνάδελφο. Ο συνάδελφος το ανοίγει στον υπολογιστή του, ενδεχομένως μολύνοντάς τον. Αλλά αυτός ο φορέας επίθεσης απαιτεί τουλάχιστον δύο προγράμματα προστασίας από ιούς - ένα στον διακομιστή email και ένα στον υπολογιστή του παραλήπτη. Η προσθήκη ενός τρίτου προγράμματος προστασίας από ιούς σε μια κινητή συσκευή φαίνεται εντελώς παράλογη.

Όπως μπορείτε να δείτε, η μεγαλύτερη απειλή στον εταιρικό ψηφιακό κόσμο είναι το κακόβουλο λογισμικό χωρίς δικαιώματα root. Από πού μπορούν να προέρχονται από μια κινητή συσκευή;

Τις περισσότερες φορές εγκαθίστανται χρησιμοποιώντας sideloading, adb ή καταστήματα τρίτων, τα οποία θα πρέπει να απαγορεύονται σε κινητές συσκευές με πρόσβαση στο εταιρικό δίκτυο. Απομένουν δύο επιλογές για κακόβουλο λογισμικό: από το Google Play ή από το UEM.

Πριν από τη δημοσίευση στο Google Play, όλες οι εφαρμογές υποβάλλονται σε υποχρεωτική επαλήθευση. Αλλά για εφαρμογές με μικρό αριθμό εγκαταστάσεων, οι έλεγχοι πραγματοποιούνται τις περισσότερες φορές χωρίς ανθρώπινη παρέμβαση, μόνο σε αυτόματη λειτουργία. Επομένως, μερικές φορές κακόβουλο λογισμικό εισέρχεται στο Google Play, αλλά όχι συχνά. Ένα πρόγραμμα προστασίας από ιούς του οποίου οι βάσεις δεδομένων ενημερώνονται έγκαιρα θα μπορεί να ανιχνεύει εφαρμογές με κακόβουλο λογισμικό στη συσκευή πριν από το Google Play Protect, το οποίο εξακολουθεί να υστερεί στην ταχύτητα ενημέρωσης βάσεων δεδομένων προστασίας από ιούς.

Η UEM μπορεί να εγκαταστήσει οποιαδήποτε εφαρμογή σε φορητή συσκευή, συμ. κακόβουλο λογισμικό, επομένως οποιαδήποτε εφαρμογή πρέπει να σαρωθεί πρώτα. Οι εφαρμογές μπορούν να ελεγχθούν τόσο κατά την ανάπτυξή τους χρησιμοποιώντας εργαλεία στατικής και δυναμικής ανάλυσης, όσο και αμέσως πριν από τη διανομή τους χρησιμοποιώντας εξειδικευμένα sandboxes ή/και λύσεις προστασίας από ιούς. Είναι σημαντικό η εφαρμογή να επαληθευτεί μία φορά πριν μεταφορτωθεί στο UEM. Επομένως, σε αυτήν την περίπτωση, δεν απαιτείται προστασία από ιούς σε φορητή συσκευή.

Προστασία δικτύου

Ανάλογα με τον κατασκευαστή προστασίας από ιούς, η προστασία του δικτύου σας μπορεί να προσφέρει μία ή περισσότερες από τις ακόλουθες δυνατότητες.

Το φιλτράρισμα URL χρησιμοποιείται για:

• Αποκλεισμός κυκλοφορίας ανά κατηγορίες πόρων. Για παράδειγμα, να απαγορεύεται η παρακολούθηση ειδήσεων ή άλλου μη εταιρικού περιεχομένου πριν από το μεσημεριανό γεύμα, όταν ο εργαζόμενος είναι πιο αποτελεσματικός. Στην πράξη, ο αποκλεισμός λειτουργεί συνήθως με πολλούς περιορισμούς - οι κατασκευαστές προστασίας από ιούς δεν καταφέρνουν πάντα να ενημερώνουν τους καταλόγους των κατηγοριών πόρων εγκαίρως, λαμβάνοντας υπόψη την παρουσία πολλών "καθρεφτών". Επιπλέον, υπάρχουν ανωνυμοποιητές και Opera VPN, τα οποία τις περισσότερες φορές δεν είναι αποκλεισμένα.
• Προστασία από phishing ή πλαστογράφηση κεντρικών υπολογιστών-στόχων. Για να γίνει αυτό, οι διευθύνσεις URL στις οποίες έχει πρόσβαση η συσκευή ελέγχονται πρώτα στη βάση δεδομένων προστασίας από ιούς. Οι σύνδεσμοι, καθώς και οι πόροι στους οποίους οδηγούν (συμπεριλαμβανομένων πιθανών πολλαπλών ανακατευθύνσεων), ελέγχονται με βάση μια βάση δεδομένων γνωστών τοποθεσιών ηλεκτρονικού ψαρέματος (phishing). Το όνομα τομέα, το πιστοποιητικό και η διεύθυνση IP επαληθεύονται επίσης μεταξύ της κινητής συσκευής και του αξιόπιστου διακομιστή. Εάν ο πελάτης και ο διακομιστής λαμβάνουν διαφορετικά δεδομένα, τότε πρόκειται είτε για MITM ("άνθρωπος στη μέση"), είτε για αποκλεισμό της κυκλοφορίας χρησιμοποιώντας το ίδιο πρόγραμμα προστασίας από ιούς ή διάφορα είδη διακομιστή μεσολάβησης και φίλτρα Ιστού στο δίκτυο στο οποίο είναι συνδεδεμένη η κινητή συσκευή. Είναι δύσκολο να πούμε με σιγουριά ότι υπάρχει κάποιος στη μέση.

Για να αποκτήσει πρόσβαση στην κίνηση από κινητά, το πρόγραμμα προστασίας από ιούς είτε δημιουργεί ένα VPN είτε χρησιμοποιεί τις δυνατότητες του Accessibility API (API για εφαρμογές που προορίζονται για άτομα με ειδικές ανάγκες). Η ταυτόχρονη λειτουργία πολλών VPN σε μια φορητή συσκευή είναι αδύνατη, επομένως η προστασία δικτύου από antivirus που δημιουργούν το δικό τους VPN δεν είναι εφαρμόσιμη στον εταιρικό κόσμο. Ένα VPN από ένα πρόγραμμα προστασίας από ιούς απλά δεν θα λειτουργήσει μαζί με ένα εταιρικό VPN, το οποίο χρησιμοποιείται για πρόσβαση στο εταιρικό δίκτυο.

Η παροχή πρόσβασης σε ένα πρόγραμμα προστασίας από ιούς στο Accessibility API εγκυμονεί έναν άλλο κίνδυνο. Η πρόσβαση στο Accessibility API ουσιαστικά σημαίνει άδεια να κάνει οτιδήποτε για τον χρήστη - δείτε τι βλέπει ο χρήστης, εκτελέστε ενέργειες με εφαρμογές αντί για τον χρήστη κ.λπ. Λαμβάνοντας υπόψη ότι ο χρήστης πρέπει να παραχωρήσει ρητά στο antivirus τέτοια πρόσβαση, πιθανότατα θα αρνηθεί να το κάνει. Ή, αν αναγκαστεί, θα αγοράσει μόνος του άλλο τηλέφωνο χωρίς antivirus.

Τείχος προστασίας

Κάτω από αυτό το γενικό όνομα υπάρχουν τρεις λειτουργίες:

• Συλλογή στατιστικών στοιχείων χρήσης δικτύου ανά εφαρμογή και τύπο δικτύου (Wi-Fi, πάροχος κινητής τηλεφωνίας). Οι περισσότεροι κατασκευαστές AndroidΟι συσκευές παρέχουν αυτά τα δεδομένα στην εφαρμογή "Ρυθμίσεις". Η αντιγραφή τους σε μια διεπαφή προστασίας από ιούς για κινητά φαίνεται περιττή. Οι συγκεντρωτικές πληροφορίες σε όλες τις συσκευές μπορεί να είναι ενδιαφέρουσες. Τα συστήματα UEM συλλέγουν και αναλύουν με επιτυχία αυτές τις πληροφορίες.
• Περιορισμός δεδομένων κινητής τηλεφωνίας – ορισμός ορίου και λήψη ειδοποίησης όταν αυτό επιτευχθεί. Για τους περισσότερους χρήστες AndroidΓια συσκευές, αυτές οι λειτουργίες είναι διαθέσιμες στην εφαρμογή Ρυθμίσεις. Οι κεντρικές ρυθμίσεις περιορισμών αποτελούν ευθύνη του UEM, όχι του antivirus.
• Στην πραγματικότητα, τείχος προστασίας. Ή, με άλλα λόγια, αποκλεισμός της πρόσβασης σε συγκεκριμένες διευθύνσεις IP και θύρες. Λαμβάνοντας υπόψη το DDNS σε όλους τους δημοφιλείς πόρους και την ανάγκη ενεργοποίησης του VPN για αυτούς τους σκοπούς, το οποίο, όπως γράφτηκε παραπάνω, δεν μπορεί να λειτουργήσει σε συνδυασμό με το κύριο VPN, η λειτουργία φαίνεται ανεφάρμοστη στην εταιρική πρακτική.

Έλεγχος πληρεξούσιου Wi-Fi

Τα κινητά antivirus μπορούν να αξιολογήσουν την ασφάλεια των δικτύων Wi-Fi στα οποία συνδέεται η κινητή συσκευή. Μπορεί να υποτεθεί ότι ελέγχεται η παρουσία και η ισχύς της κρυπτογράφησης. Ταυτόχρονα, όλα τα σύγχρονα προγράμματα χρησιμοποιούν κρυπτογράφηση για τη μετάδοση ευαίσθητων δεδομένων. Επομένως, εάν κάποιο πρόγραμμα είναι ευάλωτο σε επίπεδο σύνδεσης, τότε είναι επίσης επικίνδυνο να το χρησιμοποιήσετε μέσω οποιωνδήποτε καναλιών Διαδικτύου και όχι μόνο μέσω του δημόσιου Wi-Fi.
Επομένως, το δημόσιο Wi-Fi, συμπεριλαμβανομένου του χωρίς κρυπτογράφηση, δεν είναι πιο επικίνδυνο και λιγότερο ασφαλές από οποιοδήποτε άλλο μη αξιόπιστο κανάλι μετάδοσης δεδομένων χωρίς κρυπτογράφηση.

Προστασία ανεπιθύμητων

Η προστασία συνήθως συνίσταται στο φιλτράρισμα των εισερχόμενων κλήσεων με βάση μια λίστα που καθορίζεται από τον χρήστη ή μια βάση δεδομένων γνωστών αποστολέων ανεπιθύμητης αλληλογραφίας που σας ενοχλούν ασταμάτητα με ασφάλειες, δάνεια και προσκλήσεις για θέατρο. Ενώ δεν σας έχουν καλέσει κατά τη διάρκεια της αυτο-απομόνωσης, θα αρχίσουν να σας καλούν ξανά σύντομα. Φιλτράρονται μόνο οι κλήσεις. Μηνύματα σε σχετικούς ιστότοπους Android Δεν φιλτράρονται. Δεδομένου ότι οι spammers αλλάζουν τακτικά τους αριθμούς τους και της αδυναμίας προστασίας των καναλιών κειμένου (SMS, άμεσα μηνύματα), αυτή η λειτουργία είναι περισσότερο μάρκετινγκ παρά πρακτική.

Αντικλεπτική προστασία

Εκτελέστε απομακρυσμένες ενέργειες στην κινητή σας συσκευή σε περίπτωση απώλειας ή κλοπής. Μια εναλλακτική λύση στις υπηρεσίες Εύρεσης. iPhone και το Find My Device από την Apple και την Google, αντίστοιχα. Σε αντίθεση με τους αντίστοιχους παρόχους, οι υπηρεσίες των προμηθευτών antivirus δεν μπορούν να μπλοκάρουν μια συσκευή εάν ένας εισβολέας την έχει ήδη επαναφέρει στις εργοστασιακές ρυθμίσεις. Ωστόσο, εάν αυτό δεν έχει συμβεί ακόμη, τα ακόλουθα μπορούν να γίνουν εξ αποστάσεως:

• ΟΙΚΟΔΟΜΙΚΟ ΤΕΤΡΑΓΩΝΟ. Προστασία από έναν απλοϊκό κλέφτη, γιατί μπορεί εύκολα να γίνει επαναφέροντας τη συσκευή στις εργοστασιακές ρυθμίσεις μέσω ανάκτησης.
• Μάθετε τις συντεταγμένες της συσκευής. Χρήσιμο όταν η συσκευή χάθηκε πρόσφατα.
• Ενεργοποιήστε ένα δυνατό ηχητικό σήμα για να σας βοηθήσει να βρείτε τη συσκευή σας εάν βρίσκεται σε αθόρυβη λειτουργία.
• Επαναφέρετε τη συσκευή στις εργοστασιακές ρυθμίσεις. Είναι λογικό όταν ο χρήστης έχει αναγνωρίσει τη συσκευή ως ανεπανόρθωτα χαμένη, αλλά δεν θέλει να αποκαλυφθούν τα δεδομένα που είναι αποθηκευμένα σε αυτήν.
• Για να φτιάξετε μια φωτογραφία. Φωτογραφίστε τον εισβολέα αν κρατάει το τηλέφωνο στα χέρια του. Η πιο αμφισβητήσιμη λειτουργικότητα είναι ότι η πιθανότητα ένας εισβολέας να θαυμάσει το τηλέφωνο σε καλό φωτισμό είναι χαμηλή. Όμως, η παρουσία στη συσκευή μιας εφαρμογής που μπορεί να ελέγξει αθόρυβα την κάμερα του smartphone, να τραβήξει φωτογραφίες και να τις στείλει στον διακομιστή της προκαλεί εύλογη ανησυχία.

Η απομακρυσμένη εκτέλεση εντολών είναι βασική σε οποιοδήποτε σύστημα UEM. Το μόνο που τους λείπει είναι η απομακρυσμένη φωτογραφία. Αυτός είναι ένας σίγουρος τρόπος για να κάνετε τους χρήστες να βγάλουν τις μπαταρίες από τα τηλέφωνά τους και να τις βάλουν σε μια τσάντα Faraday μετά το τέλος της εργάσιμης ημέρας.

Οι λειτουργίες κατά της κλοπής στα antivirus για κινητά είναι διαθέσιμες μόνο για AndroidΓια iOS, μόνο το UEM μπορεί να εκτελέσει τέτοιες ενέργειες. Μπορεί να υπάρχει μόνο ένα UEM σε μια συσκευή iOS—αυτό είναι ένα αρχιτεκτονικό χαρακτηριστικό του iOS.

Ευρήματα

1. Μια κατάσταση στην οποία ένας χρήστης μπορεί να εγκαταστήσει κακόβουλο λογισμικό σε ένα τηλέφωνο ΔΕΝ ΕΙΝΑΙ ΑΠΟΔΕΚΤΗ.
2. Το σωστά διαμορφωμένο UEM σε μια εταιρική συσκευή εξαλείφει την ανάγκη προστασίας από ιούς.
3. Εάν γίνει εκμετάλλευση ευπάθειας 0 ημερών στο λειτουργικό σύστημα, το πρόγραμμα προστασίας από ιούς είναι άχρηστο. Μπορεί μόνο να υποδείξει στον διαχειριστή ότι η συσκευή είναι ευάλωτη.
4. Το πρόγραμμα προστασίας από ιούς δεν μπορεί να προσδιορίσει εάν γίνεται εκμετάλλευση της ευπάθειας. Εκτός από την κυκλοφορία μιας ενημέρωσης για μια συσκευή για την οποία ο κατασκευαστής δεν εκδίδει πλέον ενημερώσεις ασφαλείας. Το πολύ είναι ένα ή δύο χρόνια.
5. Αν αφαιρέσουμε τις απαιτήσεις των ρυθμιστικών αρχών και του μάρκετινγκ, τότε τα εταιρικά antivirus για κινητά χρειάζονται μόνο για Android Συσκευές όπου οι χρήστες έχουν πρόσβαση στο Google Play και εγκαθιστούν εφαρμογές από τρίτες πηγές. Σε άλλες περιπτώσεις, η αποτελεσματικότητα του λογισμικού προστασίας από ιούς είναι ελάχιστα μεγαλύτερη από ένα εικονικό φάρμακο.

Πηγή: www.habr.com