Los antivirus móviles no funcionan

TL; DR si tus dispositivos móviles corporativos requieren de un antivirus, entonces estás haciendo todo mal y el antivirus no te ayudará.

Este post es el resultado de un acalorado debate sobre si es necesario un antivirus en un teléfono móvil corporativo, en qué casos funciona y en qué casos es inútil. El artículo examina los modelos de amenazas contra los que, en teoría, debería proteger un antivirus.

Los proveedores de antivirus a menudo logran convencer a los clientes corporativos de que un antivirus mejorará enormemente su seguridad, pero en la mayoría de los casos se trata de una protección ilusoria, que sólo reduce la vigilancia tanto de los usuarios como de los administradores.

La infraestructura corporativa adecuada

Cuando una empresa tiene decenas o incluso miles de empleados, es imposible configurar manualmente cada dispositivo de usuario. La configuración puede cambiar todos los días, llegan nuevos empleados, sus teléfonos móviles y portátiles se estropean o se pierden. Como resultado, todo el trabajo de los administradores consistiría en la implementación diaria de nuevas configuraciones en los dispositivos de los empleados.

Este problema se ha tratado en ordenadores de sobremesa desde hace mucho tiempo. WindowsNormalmente, dicha gestión se realiza a través de Active Directory, sistemas de autenticación centralizados (inicio de sesión único), etc. Pero ahora, todos los empleados tienen teléfonos inteligentes además de sus computadoras, donde se realiza una parte significativa de los procesos de trabajo y se almacenan datos importantes. Microsoft intentó integrar sus teléfonos en Windows Un teléfono en un único ecosistema con Windowspero esta idea murió junto con la muerte oficial Windows Teléfono. Por lo tanto, en un entorno corporativo, siempre tienes que elegir entre Android y iOS.

Ahora, en un entorno corporativo, el concepto de UEM (gestión unificada de terminales) está de moda para gestionar los dispositivos de los empleados. Este es un sistema de gestión centralizado para dispositivos móviles y computadoras de escritorio.

Gestión centralizada de dispositivos de usuario (gestión unificada de terminales)

El administrador del sistema UEM puede establecer diferentes políticas para los dispositivos de los usuarios. Por ejemplo, permitir al usuario mayor o menor control sobre el dispositivo, instalar aplicaciones de fuentes de terceros, etc.

Qué puede hacer UEM:

Administrar todas las configuraciones — el administrador puede prohibir completamente al usuario cambiar la configuración del dispositivo y cambiarla de forma remota.

Software de control en el dispositivo — permitir la instalación de programas en el dispositivo e instalar programas automáticamente sin el conocimiento del usuario. El administrador también puede bloquear o permitir la instalación de programas desde la tienda de aplicaciones o desde fuentes no confiables (desde archivos APK en el caso de Android).

Bloqueo remoto — si se pierde el teléfono, el administrador puede bloquear el dispositivo o borrar los datos. Algunos sistemas también le permiten configurar la eliminación automática de datos si el teléfono no se ha comunicado con el servidor durante más de N horas, para eliminar la posibilidad de intentos de piratería fuera de línea cuando los atacantes lograron extraer la tarjeta SIM antes de que se enviara el comando de borrado de datos desde el servidor. .

Recopilar estadísticas — realizar un seguimiento de la actividad del usuario, el tiempo de uso de la aplicación, la ubicación, el nivel de la batería, etc.

¿Qué son las UEM?

Existen dos enfoques fundamentalmente diferentes para la gestión centralizada de los teléfonos inteligentes de los empleados: en un caso, la empresa compra dispositivos de un fabricante para los empleados y normalmente elige un sistema de gestión del mismo proveedor. En otro caso, los empleados utilizan sus dispositivos personales para trabajar, y aquí comienza el zoológico de sistemas operativos, versiones y plataformas.

BYOD (Trae tu propio dispositivo) es un concepto en el que los empleados utilizan sus dispositivos y cuentas personales para trabajar. Algunos sistemas de gestión centralizada le permiten agregar una segunda cuenta laboral y separar completamente sus datos en personales y laborales.

Gerente Comercial de Apple — Sistema de gestión centralizado nativo de Apple. Solo puede gestionar dispositivos Apple, ordenadores con macOS y teléfonos iOS. Se admite el uso de dispositivos personales en el trabajo (BYOD), y se puede crear un segundo entorno aislado con una cuenta de iCloud diferente.

Gestión de puntos finales de Google Cloud - te permite controlar los teléfonos en Android y Apple iOS, así como ordenadores de escritorio en Windows 10Se declara el soporte para BYOD (Trae tu propio dispositivo).

UEM Samsung Knox - Compatible únicamente con dispositivos móviles Samsung. En este caso, puede utilizar inmediatamente sólo Gestión móvil Samsung.

De hecho, existen muchos más proveedores de UEM, pero no los analizaremos todos en este artículo. Lo principal a tener en cuenta es que dichos sistemas ya existen y permiten al administrador configurar los dispositivos de los usuarios de forma adecuada al modelo de amenaza existente.

Modelo de amenaza

Antes de elegir herramientas de protección, debemos entender de qué nos estamos protegiendo, qué es lo peor que puede pasar en nuestro caso particular. En términos relativos: nuestro cuerpo es fácilmente vulnerable a una bala e incluso a un tenedor y un clavo, pero no nos ponemos un chaleco antibalas al salir de casa. Por tanto, nuestro modelo de amenaza no incluye el riesgo de recibir un disparo de camino al trabajo, aunque estadísticamente esto no es tan improbable. Además, en determinadas condiciones, el uso de un chaleco antibalas está totalmente justificado.

Los modelos de amenazas varían de una empresa a otra. Tomemos, por ejemplo, el teléfono inteligente de un mensajero que se dirige a entregar un paquete a un cliente. Su teléfono inteligente sólo contiene la dirección de la entrega actual y la ruta en el mapa. Lo peor que le puede pasar a sus datos es una filtración de direcciones de entrega de paquetes.

Y aquí está el teléfono inteligente del contable. Tiene acceso a la red corporativa vía VPN, tiene instalada una aplicación corporativa cliente-banco y almacena documentos con información valiosa. Evidentemente, el valor de los datos de estos dos dispositivos difiere significativamente y deberían protegerse de forma diferente.

¿Nos salvará el antivirus?

Desafortunadamente, detrás de los eslóganes de marketing se pierde el significado real de las tareas que realiza un antivirus en un dispositivo móvil. Intentemos comprender en detalle qué hace el antivirus en el teléfono.

Auditoria de seguridad

La mayoría de los antivirus móviles modernos auditan la configuración de seguridad del dispositivo. Esta auditoría a veces se denomina "verificación de reputación del dispositivo". Los antivirus consideran seguro un dispositivo si se cumplen cuatro condiciones:

• El dispositivo no está pirateado (root, jailbreak).
• El dispositivo tiene una contraseña configurada.
• La depuración USB no está habilitada en el dispositivo.
• No se permite la instalación de aplicaciones de fuentes no confiables (carga local) en el dispositivo.

Si, como resultado del análisis, se descubre que el dispositivo no es seguro, el antivirus notificará al propietario y le ofrecerá desactivar la funcionalidad "peligrosa" o devolver el firmware de fábrica si hay signos de root o jailbreak.

Según la costumbre corporativa, no basta con avisar al usuario. Deben eliminarse las configuraciones inseguras. Para hacer esto, necesita configurar políticas de seguridad en dispositivos móviles utilizando el sistema UEM. Y si se detecta root/jailbreak, debe eliminar rápidamente los datos corporativos del dispositivo y bloquear su acceso a la red corporativa. Y esto también es posible con UEM. Y solo después de estos procedimientos se puede considerar seguro el dispositivo móvil.

Buscar y eliminar virus

Contrariamente a la creencia popular de que no existen virus para iOS, esto no es cierto. Todavía existen exploits comunes para versiones anteriores de iOS que infectar dispositivos mediante la explotación de las vulnerabilidades del navegador. Al mismo tiempo, debido a la arquitectura de iOS, el desarrollo de antivirus para esta plataforma es imposible. La razón principal es que las aplicaciones no pueden acceder a la lista de aplicaciones instaladas y tienen muchas restricciones a la hora de acceder a los archivos. Solo UEM puede obtener la lista de aplicaciones de iOS instaladas, pero ni siquiera UEM puede acceder a los archivos.

С Android La situación es diferente. Las aplicaciones pueden obtener información sobre las aplicaciones instaladas en el dispositivo. Incluso pueden acceder a sus distribuciones (por ejemplo, Apk Extractor y similares). Android-Las aplicaciones también tienen la capacidad de acceder a archivos (por ejemplo, Total Commander, etc.). Android- Las aplicaciones pueden descompilarse.

Con tales capacidades, el siguiente algoritmo antivirus parece lógico:

• Comprobando aplicaciones
• Obtenga una lista de aplicaciones instaladas y sumas de verificación (CS) de sus distribuciones.
• Verifique las aplicaciones y su CS primero en la base de datos local y luego en la global.
• Si la aplicación es desconocida, transfiera su distribución a la base de datos global para su análisis y descompilación.

• Comprobación de archivos, búsqueda de firmas de virus.
• Verifique los archivos CS en la base de datos local y luego en la global.
• Verifique los archivos en busca de contenido inseguro (scripts, exploits, etc.) utilizando una base de datos local y luego global.
• Si se detecta malware, notifique al usuario y/o bloquee el acceso del usuario al malware y/o envíe la información a la UEM. Es necesario transferir información a UEM porque el antivirus no puede eliminar el malware del dispositivo de forma independiente.

La mayor preocupación es la posibilidad de transferir distribuciones de software desde el dispositivo a un servidor externo. Sin esto, es imposible implementar el "análisis de comportamiento" que afirman los fabricantes de antivirus, porque En el dispositivo, no puede ejecutar la aplicación en una "zona de pruebas" separada ni descompilarla (qué tan efectiva es cuando se usa la ofuscación es una cuestión compleja separada). Por otro lado, se pueden instalar aplicaciones corporativas en los dispositivos móviles de los empleados que son desconocidas para el antivirus al no estar en Google Play. Estas aplicaciones móviles pueden contener datos confidenciales que pueden hacer que no aparezcan en la tienda pública. Transferir dichas distribuciones al fabricante del antivirus parece incorrecto desde el punto de vista de la seguridad. Tiene sentido agregarlos a las excepciones, pero todavía no conozco la existencia de tal mecanismo.

El malware sin privilegios de root puede

1. Dibuja tu propia ventana invisible encima de la aplicación. o implemente su propio teclado para copiar los datos ingresados ​​por el usuario: parámetros de cuenta, tarjetas bancarias, etc. Un ejemplo reciente es la vulnerabilidad. CVE-2020-0096, con cuya ayuda es posible reemplazar la pantalla activa de una aplicación y así obtener acceso a los datos ingresados ​​por el usuario. Para el usuario, esto significa la posibilidad de robo de una cuenta de Google con acceso a la copia de seguridad del dispositivo y a los datos de la tarjeta bancaria. Para la organización, por su parte, es importante no perder sus datos. Si los datos están en la memoria privada de la aplicación y no están contenidos en una copia de seguridad de Google, el malware no podrá acceder a ellos.

2. Acceder a datos en directorios públicos – descargas, documentos, galería. No se recomienda almacenar información valiosa de la empresa en estos directorios porque cualquier aplicación puede acceder a ellos. Y el propio usuario siempre podrá compartir un documento confidencial utilizando cualquier aplicación disponible.

3. Molestar al usuario con publicidad, minar bitcoins, formar parte de una botnet, etc.. Esto puede tener un impacto negativo en el rendimiento del usuario y/o del dispositivo, pero no representará una amenaza para los datos corporativos.

El malware con privilegios de root puede potencialmente hacer cualquier cosa. Son raros porque los modernos Android-dispositivos que usan la aplicación es prácticamente imposible. La última vez que se descubrió una vulnerabilidad similar fue en 2016. Esta fue la infame Dirty COW, a la que se le asignó el número CVE-2016-5195. La clave aquí es que si el cliente detecta signos de un compromiso UEM, borrará toda la información corporativa del dispositivo, por lo que la probabilidad de robo de datos exitoso utilizando dicho malware en el mundo corporativo es baja.

Los archivos maliciosos pueden dañar tanto el dispositivo móvil como los sistemas corporativos a los que tiene acceso. Veamos estos escenarios con más detalle.

El daño a un dispositivo móvil puede ocurrir, por ejemplo, si descarga una imagen en él, la cual, cuando se abre o cuando intenta instalar un fondo de pantalla, convierte el dispositivo en un "ladrillo" o lo reinicia. Lo más probable es que esto dañe el dispositivo o al usuario, pero no afectará la privacidad de los datos. Aunque hay excepciones.

La vulnerabilidad fue discutida recientemente. CVE-2020-8899. Se alega que podría utilizarse para acceder a la consola de los dispositivos móviles Samsung mediante una imagen infectada enviada por correo electrónico, mensajería instantánea o MMS. Aunque el acceso a la consola significa poder acceder sólo a datos en directorios públicos donde no debería estar la información sensible, la privacidad de los datos personales de los usuarios se está viendo comprometida y esto ha asustado a los usuarios. Aunque en realidad sólo es posible atacar dispositivos que utilicen MMS. Y para que un ataque tenga éxito es necesario enviar entre 75 y 450 (!) mensajes. Desafortunadamente, el antivirus no ayudará aquí porque no tiene acceso al registro de mensajes. Para protegerse contra esto, sólo hay dos opciones. Actualice el sistema operativo o bloquee MMS. Puedes esperar mucho tiempo por la primera opción y no esperar, porque... Los fabricantes de dispositivos no publican actualizaciones para todos los dispositivos. Deshabilitar la recepción de MMS en este caso es mucho más fácil.

Los archivos transferidos desde dispositivos móviles pueden dañar los sistemas corporativos. Por ejemplo, un dispositivo móvil puede contener un archivo infectado que, si bien no daña el dispositivo, puede infectar el sistema. WindowsUn usuario envía un archivo de este tipo por correo electrónico a un compañero. Este lo abre en su PC, con el riesgo de infectarlo. Sin embargo, este tipo de ataque requiere al menos dos programas antivirus: uno en el servidor de correo y otro en el ordenador del destinatario. Añadir un tercer programa antivirus en un dispositivo móvil parece una medida excesivamente paranoica.

Como puede ver, la mayor amenaza en el mundo digital corporativo es el malware sin privilegios de root. ¿De dónde pueden venir en un dispositivo móvil?

La mayoría de las veces se instalan mediante descarga lateral, adb o tiendas de terceros, lo que debería estar prohibido en dispositivos móviles con acceso a la red corporativa. Hay dos opciones para que llegue el malware: desde Google Play o desde UEM.

Antes de publicar en Google Play, todas las aplicaciones se someten a una verificación obligatoria. Pero para aplicaciones con una pequeña cantidad de instalaciones, las comprobaciones se realizan con mayor frecuencia sin intervención humana, solo en modo automático. Por lo tanto, a veces el malware ingresa a Google Play, pero no con frecuencia. Un antivirus cuyas bases de datos se actualicen oportunamente podrá detectar aplicaciones con malware en el dispositivo antes que Google Play Protect, que aún está rezagado en la velocidad de actualización de las bases de datos del antivirus.

UEM puede instalar cualquier aplicación en un dispositivo móvil, incl. malware, por lo que cualquier aplicación debe analizarse primero. Las aplicaciones se pueden verificar tanto durante su desarrollo utilizando herramientas de análisis estáticas y dinámicas, como inmediatamente antes de su distribución utilizando sandboxes especializados y/o soluciones antivirus. Es importante que la aplicación se verifique una vez antes de cargarla en UEM. Por tanto, en este caso, no es necesario un antivirus en un dispositivo móvil.

Protección de red

Dependiendo del fabricante del antivirus, la protección de su red puede ofrecer una o más de las siguientes funciones.

El filtrado de URL se utiliza para:

• Bloqueo de tráfico por categorías de recursos. Por ejemplo, prohibir ver noticias u otros contenidos no corporativos antes del almuerzo, cuando el empleado es más efectivo. En la práctica, el bloqueo suele funcionar con muchas restricciones: los fabricantes de antivirus no siempre logran actualizar los directorios de categorías de recursos de manera oportuna, teniendo en cuenta la presencia de muchos "espejos". Además, existen anonimizadores y Opera VPN, que en la mayoría de los casos no están bloqueados.
• Protección contra phishing o suplantación de hosts de destino. Para ello, primero se comparan las URL a las que accede el dispositivo con la base de datos antivirus. Los enlaces, así como los recursos a los que conducen (incluidos posibles redireccionamientos múltiples), se comparan con una base de datos de sitios de phishing conocidos. El nombre de dominio, el certificado y la dirección IP también se verifican entre el dispositivo móvil y el servidor de confianza. Si el cliente y el servidor reciben datos diferentes, entonces se trata de MITM ("hombre en el medio") o de bloquear el tráfico utilizando el mismo antivirus o varios tipos de servidores proxy y filtros web en la red a la que está conectado el dispositivo móvil. Es difícil decir con seguridad que hay alguien en el medio.

Para obtener acceso al tráfico móvil, el antivirus crea una VPN o utiliza las capacidades de la API de Accesibilidad (API para aplicaciones destinadas a personas con discapacidades). El funcionamiento simultáneo de varias VPN en un dispositivo móvil es imposible, por lo que la protección de la red contra antivirus que crean su propia VPN no es aplicable en el mundo empresarial. Una VPN de un antivirus simplemente no funcionará junto con una VPN corporativa, que se utiliza para acceder a la red corporativa.

Dar acceso a un antivirus a la API de accesibilidad plantea otro peligro. El acceso a la API de Accesibilidad significa esencialmente permiso para hacer cualquier cosa por el usuario: ver lo que ve el usuario, realizar acciones con aplicaciones en lugar del usuario, etc. Teniendo en cuenta que el usuario debe conceder explícitamente dicho acceso al antivirus, lo más probable es que éste se niegue a hacerlo. O, si se ve obligado, se comprará otro teléfono sin antivirus.

Cortafuegos

Bajo esta denominación general se distinguen tres funciones:

• Recopilación de estadísticas de uso de la red por aplicación y tipo de red (Wi-Fi, operador móvil). La mayoría de los fabricantes AndroidLos dispositivos proporcionan estos datos en la aplicación de Ajustes. Duplicarlos en una interfaz de antivirus móvil parece redundante. La información agregada de todos los dispositivos puede ser de interés. Los sistemas UEM recopilan y analizan esta información con éxito.
• Limitación de datos móviles: establecer un límite y recibir una notificación cuando se alcance. Para la mayoría de los usuarios AndroidPara los dispositivos, estas funciones están disponibles en la aplicación Ajustes. La configuración centralizada de restricciones es responsabilidad de UEM, no del antivirus.
• En realidad, cortafuegos. O, dicho de otro modo, bloquear el acceso a determinadas direcciones IP y puertos. Teniendo en cuenta el DDNS en todos los recursos populares y la necesidad de habilitar VPN para estos fines, que, como se mencionó anteriormente, no puede funcionar en conjunto con la VPN principal, la función parece inaplicable en la práctica corporativa.

Verificación del poder notarial de Wi-Fi

Los antivirus móviles pueden evaluar la seguridad de las redes Wi-Fi a las que se conecta el dispositivo móvil. Se puede suponer que se verifican la presencia y la solidez del cifrado. Al mismo tiempo, todos los programas modernos utilizan cifrado para transmitir datos confidenciales. Por tanto, si algún programa es vulnerable a nivel de enlace, entonces también es peligroso utilizarlo a través de cualquier canal de Internet, y no sólo a través de una red Wi-Fi pública.
Por lo tanto, el Wi-Fi público, incluso sin cifrado, no es más peligroso ni menos seguro que cualquier otro canal de transmisión de datos no confiable y sin cifrado.

Protección anti-spam

La protección generalmente se reduce a filtrar las llamadas entrantes según una lista especificada por el usuario o una base de datos de remitentes de spam conocidos que te acosan sin cesar con seguros, préstamos e invitaciones al teatro. Si bien no han llamado durante el autoaislamiento, pronto volverán a hacerlo. Solo se filtran las llamadas. Mensajes en sitios relevantes Android No se filtran. Dado que los remitentes de spam cambian de número con frecuencia y que es imposible proteger los canales de texto (SMS, mensajería instantánea), esta función es más una estrategia de marketing que una solución práctica.

Protección antirrobo

Realiza acciones remotas en tu dispositivo móvil si se pierde o te lo roban. Una alternativa a los servicios de Buscar mi móvil. iPhone y Buscar mi dispositivo de Apple y Google, respectivamente. A diferencia de sus contrapartes, los servicios de los proveedores de antivirus no pueden bloquear un dispositivo si un atacante ya lo ha restablecido a la configuración de fábrica. Sin embargo, si esto aún no ha sucedido, se puede hacer lo siguiente de forma remota:

• Bloquear. Protección contra un ladrón ingenuo, porque se puede hacer fácilmente restableciendo el dispositivo a la configuración de fábrica mediante recuperación.
• Descubra las coordenadas del dispositivo. Útil cuando el dispositivo se perdió recientemente.
• Active un pitido fuerte para ayudarle a encontrar su dispositivo si está en modo silencioso.
• Restablezca el dispositivo a la configuración de fábrica. Tiene sentido cuando el usuario ha reconocido que el dispositivo está irremediablemente perdido, pero no quiere que se divulguen los datos almacenados en él.
• Para hacer una foto. Tome una foto del atacante si tiene el teléfono en sus manos. La funcionalidad más cuestionable es que la probabilidad de que un atacante admire el teléfono con buena iluminación es baja. Pero la presencia en el dispositivo de una aplicación que puede controlar silenciosamente la cámara del teléfono inteligente, tomar fotos y enviarlas a su servidor causa una preocupación razonable.

La ejecución remota de comandos es básica en cualquier sistema UEM. Lo único que les falta es la fotografía remota. Esta es una forma segura de lograr que los usuarios saquen las baterías de sus teléfonos y las guarden en una bolsa de Faraday después del final de la jornada laboral.

Las funciones antirrobo en los antivirus móviles solo están disponibles para AndroidEn iOS, solo UEM puede realizar dichas acciones. Solo puede haber un UEM en un dispositivo iOS; esta es una característica arquitectónica de iOS.

Hallazgos

1. Una situación en la que un usuario pueda instalar malware en un teléfono NO ES ACEPTABLE.
2. UEM correctamente configurado en un dispositivo corporativo elimina la necesidad de antivirus.
3. Si se aprovechan las vulnerabilidades de día 0 del sistema operativo, el antivirus es inútil. Sólo puede indicarle al administrador que el dispositivo es vulnerable.
4. El antivirus no puede determinar si se está aprovechando la vulnerabilidad. Además de lanzar una actualización para un dispositivo para el cual el fabricante ya no publica actualizaciones de seguridad. Como máximo son uno o dos años.
5. Si nos abstraemos de los requisitos de los reguladores y el marketing, entonces los antivirus móviles corporativos solo son necesarios para Android Dispositivos donde los usuarios tienen acceso a Google Play e instalan aplicaciones de fuentes externas. En otros casos, la eficacia del software antivirus es poco más que un placebo.

Fuente: habr.com