ProHoster > Blog > administración > Los antivirus móviles no funcionan

Los antivirus móviles no funcionan

Los antivirus móviles no funcionan
TL; DR si tus dispositivos móviles corporativos requieren de un antivirus, entonces estás haciendo todo mal y el antivirus no te ayudará.

Este post es el resultado de un acalorado debate sobre si es necesario un antivirus en un teléfono móvil corporativo, en qué casos funciona y en qué casos es inútil. El artículo examina los modelos de amenazas contra los que, en teoría, debería proteger un antivirus.

Los proveedores de antivirus a menudo logran convencer a los clientes corporativos de que un antivirus mejorará enormemente su seguridad, pero en la mayoría de los casos se trata de una protección ilusoria, que sólo reduce la vigilancia tanto de los usuarios como de los administradores.

La infraestructura corporativa adecuada

Cuando una empresa tiene decenas o incluso miles de empleados, es imposible configurar manualmente cada dispositivo de usuario. La configuración puede cambiar todos los días, llegan nuevos empleados, sus teléfonos móviles y portátiles se estropean o se pierden. Como resultado, todo el trabajo de los administradores consistiría en la implementación diaria de nuevas configuraciones en los dispositivos de los empleados.

Este problema empezó a solucionarse en los ordenadores de sobremesa hace mucho tiempo. En el mundo Windows, dicha gestión suele realizarse mediante Active Directory, sistemas de autenticación centralizados (Single Sign In), etc. Pero ahora todos los empleados tienen teléfonos inteligentes añadidos a sus ordenadores, en los que se lleva a cabo una parte importante de los procesos de trabajo y se almacenan datos importantes. Microsoft intentó integrar sus Windows Phone en un único ecosistema con Windows, pero esta idea murió con la muerte oficial de Windows Phone. Por tanto, en un entorno corporativo, en cualquier caso, hay que elegir entre Android e iOS.

Ahora, en un entorno corporativo, el concepto de UEM (gestión unificada de terminales) está de moda para gestionar los dispositivos de los empleados. Este es un sistema de gestión centralizado para dispositivos móviles y computadoras de escritorio.
Los antivirus móviles no funcionan
Gestión centralizada de dispositivos de usuario (gestión unificada de terminales)

El administrador del sistema UEM puede establecer diferentes políticas para los dispositivos de los usuarios. Por ejemplo, permitir al usuario mayor o menor control sobre el dispositivo, instalar aplicaciones de fuentes de terceros, etc.

Qué puede hacer UEM:

Administrar todas las configuraciones — el administrador puede prohibir completamente al usuario cambiar la configuración del dispositivo y cambiarla de forma remota.

Software de control en el dispositivo — permitir la posibilidad de instalar programas en el dispositivo e instalar programas automáticamente sin el conocimiento del usuario. El administrador también puede bloquear o permitir la instalación de programas desde la tienda de aplicaciones o desde fuentes no confiables (desde archivos APK en el caso de Android).

Bloqueo remoto — si se pierde el teléfono, el administrador puede bloquear el dispositivo o borrar los datos. Algunos sistemas también le permiten configurar la eliminación automática de datos si el teléfono no se ha comunicado con el servidor durante más de N horas, para eliminar la posibilidad de intentos de piratería fuera de línea cuando los atacantes lograron extraer la tarjeta SIM antes de que se enviara el comando de borrado de datos desde el servidor. .

Recopilar estadísticas — realizar un seguimiento de la actividad del usuario, el tiempo de uso de la aplicación, la ubicación, el nivel de la batería, etc.

¿Qué son las UEM?

Existen dos enfoques fundamentalmente diferentes para la gestión centralizada de los teléfonos inteligentes de los empleados: en un caso, la empresa compra dispositivos de un fabricante para los empleados y normalmente elige un sistema de gestión del mismo proveedor. En otro caso, los empleados utilizan sus dispositivos personales para trabajar, y aquí comienza el zoológico de sistemas operativos, versiones y plataformas.

BYOD (Trae tu propio dispositivo) es un concepto en el que los empleados utilizan sus dispositivos y cuentas personales para trabajar. Algunos sistemas de gestión centralizada le permiten agregar una segunda cuenta laboral y separar completamente sus datos en personales y laborales.

Los antivirus móviles no funcionan

Gerente Comercial de Apple - El sistema de gestión centralizado nativo de Apple. Solo puede administrar dispositivos Apple, computadoras con macOS y teléfonos iOS. Admite BYOD, creando un segundo entorno aislado con una cuenta de iCloud diferente.

Los antivirus móviles no funcionan

Gestión de puntos finales de Google Cloud — le permite administrar teléfonos con Android y Apple iOS, así como computadoras de escritorio con Windows 10. Se anuncia compatibilidad con BYOD.

Los antivirus móviles no funcionan
UEM Samsung Knox - Compatible únicamente con dispositivos móviles Samsung. En este caso, puede utilizar inmediatamente sólo Gestión móvil Samsung.

De hecho, existen muchos más proveedores de UEM, pero no los analizaremos todos en este artículo. Lo principal a tener en cuenta es que dichos sistemas ya existen y permiten al administrador configurar los dispositivos de los usuarios de forma adecuada al modelo de amenaza existente.

Modelo de amenaza

Antes de elegir herramientas de protección, debemos entender de qué nos estamos protegiendo, qué es lo peor que puede pasar en nuestro caso particular. En términos relativos: nuestro cuerpo es fácilmente vulnerable a una bala e incluso a un tenedor y un clavo, pero no nos ponemos un chaleco antibalas al salir de casa. Por tanto, nuestro modelo de amenaza no incluye el riesgo de recibir un disparo de camino al trabajo, aunque estadísticamente esto no es tan improbable. Además, en determinadas condiciones, el uso de un chaleco antibalas está totalmente justificado.

Los modelos de amenazas varían de una empresa a otra. Tomemos, por ejemplo, el teléfono inteligente de un mensajero que se dirige a entregar un paquete a un cliente. Su teléfono inteligente sólo contiene la dirección de la entrega actual y la ruta en el mapa. Lo peor que le puede pasar a sus datos es una filtración de direcciones de entrega de paquetes.

Y aquí está el teléfono inteligente del contable. Tiene acceso a la red corporativa vía VPN, tiene instalada una aplicación corporativa cliente-banco y almacena documentos con información valiosa. Evidentemente, el valor de los datos de estos dos dispositivos difiere significativamente y deberían protegerse de forma diferente.

¿Nos salvará el antivirus?

Desafortunadamente, detrás de los eslóganes de marketing se pierde el significado real de las tareas que realiza un antivirus en un dispositivo móvil. Intentemos comprender en detalle qué hace el antivirus en el teléfono.

Auditoria de seguridad

La mayoría de los antivirus móviles modernos auditan la configuración de seguridad del dispositivo. Esta auditoría a veces se denomina "verificación de reputación del dispositivo". Los antivirus consideran seguro un dispositivo si se cumplen cuatro condiciones:

  • El dispositivo no está pirateado (root, jailbreak).
  • El dispositivo tiene una contraseña configurada.
  • La depuración USB no está habilitada en el dispositivo.
  • No se permite la instalación de aplicaciones de fuentes no confiables (carga local) en el dispositivo.

Si, como resultado del análisis, se descubre que el dispositivo no es seguro, el antivirus notificará al propietario y le ofrecerá desactivar la funcionalidad "peligrosa" o devolver el firmware de fábrica si hay signos de root o jailbreak.

Según la costumbre corporativa, no basta con avisar al usuario. Deben eliminarse las configuraciones inseguras. Para hacer esto, necesita configurar políticas de seguridad en dispositivos móviles utilizando el sistema UEM. Y si se detecta root/jailbreak, debe eliminar rápidamente los datos corporativos del dispositivo y bloquear su acceso a la red corporativa. Y esto también es posible con UEM. Y solo después de estos procedimientos se puede considerar seguro el dispositivo móvil.

Buscar y eliminar virus

Contrariamente a la creencia popular de que no existen virus para iOS, esto no es cierto. Todavía existen exploits comunes para versiones anteriores de iOS que infectar dispositivos mediante la explotación de las vulnerabilidades del navegador. Al mismo tiempo, debido a la arquitectura de iOS, el desarrollo de antivirus para esta plataforma es imposible. La razón principal es que las aplicaciones no pueden acceder a la lista de aplicaciones instaladas y tienen muchas restricciones a la hora de acceder a los archivos. Solo UEM puede obtener la lista de aplicaciones de iOS instaladas, pero ni siquiera UEM puede acceder a los archivos.

Con Android la situación es diferente. Las aplicaciones pueden obtener información sobre las aplicaciones instaladas en el dispositivo. Incluso pueden acceder a sus distribuciones (por ejemplo, Apk Extractor y sus análogos). Las aplicaciones de Android también tienen la capacidad de acceder a archivos (por ejemplo, Total Commander, etc.). Las aplicaciones de Android se pueden descompilar.

Con tales capacidades, el siguiente algoritmo antivirus parece lógico:

  • Comprobando aplicaciones
  • Obtenga una lista de aplicaciones instaladas y sumas de verificación (CS) de sus distribuciones.
  • Verifique las aplicaciones y su CS primero en la base de datos local y luego en la global.
  • Si la aplicación es desconocida, transfiera su distribución a la base de datos global para su análisis y descompilación.

  • Comprobación de archivos, búsqueda de firmas de virus.
  • Verifique los archivos CS en la base de datos local y luego en la global.
  • Verifique los archivos en busca de contenido inseguro (scripts, exploits, etc.) utilizando una base de datos local y luego global.
  • Si se detecta malware, notifique al usuario y/o bloquee el acceso del usuario al malware y/o envíe la información a la UEM. Es necesario transferir información a UEM porque el antivirus no puede eliminar el malware del dispositivo de forma independiente.

La mayor preocupación es la posibilidad de transferir distribuciones de software desde el dispositivo a un servidor externo. Sin esto, es imposible implementar el "análisis de comportamiento" que afirman los fabricantes de antivirus, porque En el dispositivo, no puede ejecutar la aplicación en una "zona de pruebas" separada ni descompilarla (qué tan efectiva es cuando se usa la ofuscación es una cuestión compleja separada). Por otro lado, se pueden instalar aplicaciones corporativas en los dispositivos móviles de los empleados que son desconocidas para el antivirus al no estar en Google Play. Estas aplicaciones móviles pueden contener datos confidenciales que pueden hacer que no aparezcan en la tienda pública. Transferir dichas distribuciones al fabricante del antivirus parece incorrecto desde el punto de vista de la seguridad. Tiene sentido agregarlos a las excepciones, pero todavía no conozco la existencia de tal mecanismo.

El malware sin privilegios de root puede

1. Dibuja tu propia ventana invisible encima de la aplicación. o implemente su propio teclado para copiar los datos ingresados ​​por el usuario: parámetros de cuenta, tarjetas bancarias, etc. Un ejemplo reciente es la vulnerabilidad. CVE-2020-0096, con cuya ayuda es posible reemplazar la pantalla activa de una aplicación y así obtener acceso a los datos ingresados ​​por el usuario. Para el usuario, esto significa la posibilidad de robo de una cuenta de Google con acceso a la copia de seguridad del dispositivo y a los datos de la tarjeta bancaria. Para la organización, por su parte, es importante no perder sus datos. Si los datos están en la memoria privada de la aplicación y no están contenidos en una copia de seguridad de Google, el malware no podrá acceder a ellos.

2. Acceder a datos en directorios públicos – descargas, documentos, galería. No se recomienda almacenar información valiosa de la empresa en estos directorios porque cualquier aplicación puede acceder a ellos. Y el propio usuario siempre podrá compartir un documento confidencial utilizando cualquier aplicación disponible.

3. Molestar al usuario con publicidad, minar bitcoins, formar parte de una botnet, etc.. Esto puede tener un impacto negativo en el rendimiento del usuario y/o del dispositivo, pero no representará una amenaza para los datos corporativos.

El malware con privilegios de root puede potencialmente hacer cualquier cosa. Son raros porque hackear dispositivos Android modernos usando una aplicación es casi imposible. La última vez que se descubrió una vulnerabilidad de este tipo fue en 2016. Así es la sensacional Dirty VACA, a la que le dieron el número CVE-2016-5195. La clave aquí es que si el cliente detecta signos de un compromiso UEM, borrará toda la información corporativa del dispositivo, por lo que la probabilidad de robo de datos exitoso utilizando dicho malware en el mundo corporativo es baja.

Los archivos maliciosos pueden dañar tanto el dispositivo móvil como los sistemas corporativos a los que tiene acceso. Veamos estos escenarios con más detalle.

El daño a un dispositivo móvil puede ocurrir, por ejemplo, si descarga una imagen en él, la cual, cuando se abre o cuando intenta instalar un fondo de pantalla, convierte el dispositivo en un "ladrillo" o lo reinicia. Lo más probable es que esto dañe el dispositivo o al usuario, pero no afectará la privacidad de los datos. Aunque hay excepciones.

La vulnerabilidad fue discutida recientemente. CVE-2020-8899. Se alega que podría utilizarse para acceder a la consola de los dispositivos móviles Samsung mediante una imagen infectada enviada por correo electrónico, mensajería instantánea o MMS. Aunque el acceso a la consola significa poder acceder sólo a datos en directorios públicos donde no debería estar la información sensible, la privacidad de los datos personales de los usuarios se está viendo comprometida y esto ha asustado a los usuarios. Aunque en realidad sólo es posible atacar dispositivos que utilicen MMS. Y para que un ataque tenga éxito es necesario enviar entre 75 y 450 (!) mensajes. Desafortunadamente, el antivirus no ayudará aquí porque no tiene acceso al registro de mensajes. Para protegerse contra esto, sólo hay dos opciones. Actualice el sistema operativo o bloquee MMS. Puedes esperar mucho tiempo por la primera opción y no esperar, porque... Los fabricantes de dispositivos no publican actualizaciones para todos los dispositivos. Deshabilitar la recepción de MMS en este caso es mucho más fácil.

Los archivos transferidos desde dispositivos móviles pueden dañar los sistemas corporativos. Por ejemplo, hay un archivo infectado en un dispositivo móvil que no puede dañar el dispositivo, pero puede infectar una computadora con Windows. El usuario envía dicho archivo por correo electrónico a su colega. Lo abre en el PC y así puede infectarlo. Pero al menos dos antivirus se interponen en este vector de ataque: uno en el servidor de correo electrónico y el otro en el PC del destinatario. Añadir un tercer antivirus a esta cadena en un dispositivo móvil parece francamente paranoico.

Como puede ver, la mayor amenaza en el mundo digital corporativo es el malware sin privilegios de root. ¿De dónde pueden venir en un dispositivo móvil?

La mayoría de las veces se instalan mediante descarga lateral, adb o tiendas de terceros, lo que debería estar prohibido en dispositivos móviles con acceso a la red corporativa. Hay dos opciones para que llegue el malware: desde Google Play o desde UEM.

Antes de publicar en Google Play, todas las aplicaciones se someten a una verificación obligatoria. Pero para aplicaciones con una pequeña cantidad de instalaciones, las comprobaciones se realizan con mayor frecuencia sin intervención humana, solo en modo automático. Por lo tanto, a veces el malware ingresa a Google Play, pero no con frecuencia. Un antivirus cuyas bases de datos se actualicen oportunamente podrá detectar aplicaciones con malware en el dispositivo antes que Google Play Protect, que aún está rezagado en la velocidad de actualización de las bases de datos del antivirus.

UEM puede instalar cualquier aplicación en un dispositivo móvil, incl. malware, por lo que cualquier aplicación debe analizarse primero. Las aplicaciones se pueden verificar tanto durante su desarrollo utilizando herramientas de análisis estáticas y dinámicas, como inmediatamente antes de su distribución utilizando sandboxes especializados y/o soluciones antivirus. Es importante que la aplicación se verifique una vez antes de cargarla en UEM. Por tanto, en este caso, no es necesario un antivirus en un dispositivo móvil.

Protección de red

Dependiendo del fabricante del antivirus, la protección de su red puede ofrecer una o más de las siguientes funciones.

El filtrado de URL se utiliza para:

  • Bloqueo de tráfico por categorías de recursos. Por ejemplo, prohibir ver noticias u otros contenidos no corporativos antes del almuerzo, cuando el empleado es más efectivo. En la práctica, el bloqueo suele funcionar con muchas restricciones: los fabricantes de antivirus no siempre logran actualizar los directorios de categorías de recursos de manera oportuna, teniendo en cuenta la presencia de muchos "espejos". Además, existen anonimizadores y Opera VPN, que en la mayoría de los casos no están bloqueados.
  • Protección contra phishing o suplantación de hosts de destino. Para ello, primero se comparan las URL a las que accede el dispositivo con la base de datos antivirus. Los enlaces, así como los recursos a los que conducen (incluidos posibles redireccionamientos múltiples), se comparan con una base de datos de sitios de phishing conocidos. El nombre de dominio, el certificado y la dirección IP también se verifican entre el dispositivo móvil y el servidor de confianza. Si el cliente y el servidor reciben datos diferentes, entonces se trata de MITM ("hombre en el medio") o de bloquear el tráfico utilizando el mismo antivirus o varios tipos de servidores proxy y filtros web en la red a la que está conectado el dispositivo móvil. Es difícil decir con seguridad que hay alguien en el medio.

Para obtener acceso al tráfico móvil, el antivirus crea una VPN o utiliza las capacidades de la API de Accesibilidad (API para aplicaciones destinadas a personas con discapacidades). El funcionamiento simultáneo de varias VPN en un dispositivo móvil es imposible, por lo que la protección de la red contra antivirus que crean su propia VPN no es aplicable en el mundo empresarial. Una VPN de un antivirus simplemente no funcionará junto con una VPN corporativa, que se utiliza para acceder a la red corporativa.

Dar acceso a un antivirus a la API de accesibilidad plantea otro peligro. El acceso a la API de Accesibilidad significa esencialmente permiso para hacer cualquier cosa por el usuario: ver lo que ve el usuario, realizar acciones con aplicaciones en lugar del usuario, etc. Teniendo en cuenta que el usuario debe conceder explícitamente dicho acceso al antivirus, lo más probable es que éste se niegue a hacerlo. O, si se ve obligado, se comprará otro teléfono sin antivirus.

Cortafuegos

Bajo esta denominación general se distinguen tres funciones:

  • Recopilación de estadísticas sobre el uso de la red, divididas por aplicación y tipo de red (Wi-Fi, operador de telefonía móvil). La mayoría de los fabricantes de dispositivos Android proporcionan esta información en la aplicación Configuración. Duplicarlo en la interfaz del antivirus móvil parece redundante. La información agregada sobre todos los dispositivos puede resultar de interés. Los sistemas UEM lo recopilan y analizan con éxito.
  • Limitar el tráfico móvil: establecer un límite y notificarle cuando se alcance. Para la mayoría de los usuarios de dispositivos Android, estas funciones están disponibles en la aplicación Configuración. La configuración centralizada de restricciones es tarea de UEM, no de antivirus.
  • En realidad, cortafuegos. O, dicho de otro modo, bloquear el acceso a determinadas direcciones IP y puertos. Teniendo en cuenta el DDNS en todos los recursos populares y la necesidad de habilitar VPN para estos fines, que, como se mencionó anteriormente, no puede funcionar en conjunto con la VPN principal, la función parece inaplicable en la práctica corporativa.

Verificación del poder notarial de Wi-Fi

Los antivirus móviles pueden evaluar la seguridad de las redes Wi-Fi a las que se conecta el dispositivo móvil. Se puede suponer que se verifican la presencia y la solidez del cifrado. Al mismo tiempo, todos los programas modernos utilizan cifrado para transmitir datos confidenciales. Por tanto, si algún programa es vulnerable a nivel de enlace, entonces también es peligroso utilizarlo a través de cualquier canal de Internet, y no sólo a través de una red Wi-Fi pública.
Por lo tanto, el Wi-Fi público, incluso sin cifrado, no es más peligroso ni menos seguro que cualquier otro canal de transmisión de datos no confiable y sin cifrado.

Protección anti-spam

La protección, por regla general, se reduce a filtrar las llamadas entrantes según una lista especificada por el usuario, o según una base de datos de spammers conocidos que molestan sin cesar con seguros, préstamos e invitaciones al teatro. Aunque no llaman durante el aislamiento, pronto volverán a empezar. Sólo las llamadas están sujetas a filtrado. Los mensajes en los dispositivos Android actuales no se filtran. Teniendo en cuenta que los spammers cambian periódicamente sus números y la imposibilidad de proteger los canales de texto (SMS, mensajería instantánea), la funcionalidad es más de marketing que práctica.

Protección antirrobo

Realizar acciones remotas con un dispositivo móvil en caso de pérdida o robo. Una alternativa a los servicios Find My iPhone y Find My Device de Apple y Google, respectivamente. A diferencia de sus análogos, los servicios de los fabricantes de antivirus no pueden bloquear un dispositivo si un atacante logró restablecerlo a la configuración de fábrica. Pero si esto aún no ha sucedido, puedes hacer lo siguiente con el dispositivo de forma remota:

  • Bloquear. Protección contra un ladrón ingenuo, porque se puede hacer fácilmente restableciendo el dispositivo a la configuración de fábrica mediante recuperación.
  • Descubra las coordenadas del dispositivo. Útil cuando el dispositivo se perdió recientemente.
  • Active un pitido fuerte para ayudarle a encontrar su dispositivo si está en modo silencioso.
  • Restablezca el dispositivo a la configuración de fábrica. Tiene sentido cuando el usuario ha reconocido que el dispositivo está irremediablemente perdido, pero no quiere que se divulguen los datos almacenados en él.
  • Para hacer una foto. Tome una foto del atacante si tiene el teléfono en sus manos. La funcionalidad más cuestionable es que la probabilidad de que un atacante admire el teléfono con buena iluminación es baja. Pero la presencia en el dispositivo de una aplicación que puede controlar silenciosamente la cámara del teléfono inteligente, tomar fotos y enviarlas a su servidor causa una preocupación razonable.

La ejecución remota de comandos es básica en cualquier sistema UEM. Lo único que les falta es la fotografía remota. Esta es una forma segura de lograr que los usuarios saquen las baterías de sus teléfonos y las guarden en una bolsa de Faraday después del final de la jornada laboral.

Las funciones antirrobo de los antivirus móviles sólo están disponibles para Android. Para iOS, solo UEM puede realizar este tipo de acciones. Solo puede haber un UEM en un dispositivo iOS; esta es una característica arquitectónica de iOS.

Hallazgos

  1. Una situación en la que un usuario pueda instalar malware en un teléfono NO ES ACEPTABLE.
  2. UEM correctamente configurado en un dispositivo corporativo elimina la necesidad de antivirus.
  3. Si se aprovechan las vulnerabilidades de día 0 del sistema operativo, el antivirus es inútil. Sólo puede indicarle al administrador que el dispositivo es vulnerable.
  4. El antivirus no puede determinar si se está aprovechando la vulnerabilidad. Además de lanzar una actualización para un dispositivo para el cual el fabricante ya no publica actualizaciones de seguridad. Como máximo son uno o dos años.
  5. Si ignoramos los requisitos de los reguladores y del marketing, los antivirus móviles corporativos solo son necesarios en dispositivos Android, donde los usuarios tienen acceso a Google Play e instalación de programas de fuentes de terceros. En otros casos, la eficacia del uso de antivirus no es más que un placebo.

Los antivirus móviles no funcionan

Fuente: habr.com

Añadir un comentario