Os antivirus móbiles non funcionan

TL, RD se os teus dispositivos móbiles corporativos requiren un antivirus, entón estás facendo todo mal e o antivirus non che axudará.

Esta publicación é o resultado dun acalorado debate sobre se é necesario un antivirus nun teléfono móbil corporativo, en que casos funciona e en que casos é inútil. O artigo examina os modelos de ameazas contra os que, en teoría, un antivirus debería protexer.

Os provedores de antivirus adoitan convencer aos clientes corporativos de que un antivirus mellorará moito a súa seguridade, pero na maioría dos casos trátase dunha protección ilusoria, que só reduce a vixilancia tanto dos usuarios como dos administradores.

A infraestrutura corporativa adecuada

Cando unha empresa ten decenas ou incluso miles de empregados, é imposible configurar manualmente cada dispositivo de usuario. A configuración pode cambiar todos os días, entran novos empregados, os seus teléfonos móbiles e portátiles rompen ou se perden. Como resultado, todo o traballo dos administradores consistiría na implantación diaria de novas opcións nos dispositivos dos empregados.

Este problema comezou a resolverse nos ordenadores de escritorio hai moito tempo. No mundo Windows, esta xestión adoita producirse mediante Active Directory, sistemas de autenticación centralizados (Single Sign In), etc. Pero agora todos os empregados teñen teléfonos intelixentes engadidos aos seus ordenadores, nos que se realiza unha parte importante dos procesos de traballo e se almacenan datos importantes. Microsoft intentou integrar os seus Windows Phones nun único ecosistema con Windows, pero esta idea morreu coa morte oficial de Windows Phone. Polo tanto, nun ámbito corporativo, en todo caso, hai que escoller entre Android e iOS.

Agora, nun ambiente corporativo, o concepto de UEM (Unified endpoint management) está de moda para xestionar os dispositivos dos empregados. Este é un sistema de xestión centralizado para dispositivos móbiles e computadoras de escritorio.

Xestión centralizada de dispositivos de usuario (Xestión unificada de puntos finais)

O administrador do sistema UEM pode establecer políticas diferentes para os dispositivos dos usuarios. Por exemplo, permitir ao usuario un control máis ou menos sobre o dispositivo, instalar aplicacións de fontes alleas, etc.

Que pode facer a UEM:

Xestiona todas as configuracións — o administrador pode prohibir completamente ao usuario cambiar a configuración do dispositivo e cambialos de forma remota.

Software de control no dispositivo — permite a posibilidade de instalar programas no dispositivo e instalar programas automaticamente sen o coñecemento do usuario. O administrador tamén pode bloquear ou permitir a instalación de programas da tenda de aplicacións ou de fontes non fiables (de ficheiros APK no caso de Android).

Bloqueo remoto — se se perde o teléfono, o administrador pode bloquear o dispositivo ou borrar os datos. Algúns sistemas tamén permiten configurar a eliminación automática de datos se o teléfono non se puxo en contacto co servidor durante máis de N horas, para eliminar a posibilidade de intentos de piratería sen conexión cando os atacantes lograron eliminar a tarxeta SIM antes de que o comando de borrado de datos fose enviado desde o servidor. .

Recoller estatísticas - rastrexa a actividade do usuario, o tempo de uso da aplicación, a localización, o nivel da batería, etc.

Que son as UEM?

Existen dous enfoques fundamentalmente diferentes para a xestión centralizada dos teléfonos intelixentes dos empregados: nun caso, a empresa compra dispositivos dun fabricante para os empregados e adoita escoller un sistema de xestión do mesmo provedor. Noutro caso, os empregados usan os seus dispositivos persoais para traballar, e aquí comeza o zoo de sistemas operativos, versións e plataformas.

BYOD (Trae o teu propio dispositivo) é un concepto no que os empregados usan os seus dispositivos e contas persoais para traballar. Algúns sistemas de xestión centralizada permítenche engadir unha segunda conta de traballo e separar completamente os teus datos en persoais e laborais.

Xerente empresarial de Apple - Sistema de xestión centralizado nativo de Apple. Só pode xestionar dispositivos Apple, ordenadores con teléfonos macOS e iOS. Admite BYOD, creando un segundo ambiente illado cunha conta de iCloud diferente.

Xestión de puntos de conexión de Google Cloud — permítelle xestionar teléfonos en Android e Apple iOS, así como escritorios en Windows 10. Declárase compatibilidade con BYOD.

Samsung Knox UEM - Só admite dispositivos móbiles Samsung. Neste caso, só podes usar inmediatamente Xestión móbil de Samsung.

De feito, hai moitos máis provedores de UEM, pero non os analizaremos todos neste artigo. O principal que hai que ter en conta é que estes sistemas xa existen e permiten ao administrador configurar os dispositivos do usuario de forma adecuada ao modelo de ameaza existente.

Modelo de ameaza

Antes de elixir ferramentas de protección, temos que entender de que nos protexemos, que é o peor que pode pasar no noso caso particular. Relativamente falando: o noso corpo é facilmente vulnerable a unha bala e mesmo a un garfo e un cravo, pero non nos poñemos un chaleco antibalas ao saír da casa. Polo tanto, o noso modelo de ameaza non inclúe o risco de ser fusilado de camiño ao traballo, aínda que estatisticamente isto non é tan improbable. Ademais, en determinadas condicións, o uso dun chaleco antibalas está completamente xustificado.

Os modelos de ameaza varían dunha empresa a outra. Poñamos, por exemplo, o teléfono intelixente dun correo que está camiño de entregar un paquete a un cliente. O seu smartphone só contén o enderezo da entrega actual e a ruta no mapa. O peor que lles pode pasar aos seus datos é unha fuga de enderezos de entrega de paquetes.

E aquí está o teléfono intelixente do contable. Ten acceso á rede corporativa mediante VPN, ten instalada unha aplicación cliente-banca corporativa e almacena documentos con información valiosa. Obviamente, o valor dos datos destes dous dispositivos difire significativamente e debería protexerse de forma diferente.

Salvaranos o antivirus?

Por desgraza, detrás dos slogans de mercadotecnia pérdese o verdadeiro significado das tarefas que realiza un antivirus nun dispositivo móbil. Intentemos comprender en detalle o que fai o antivirus no teléfono.

Auditoría de seguridade

A maioría dos antivirus móbiles modernos auditan a configuración de seguranza do dispositivo. Esta auditoría ás veces chámase "comprobación da reputación do dispositivo". Os antivirus consideran un dispositivo seguro se se cumpren catro condicións:

• O dispositivo non está pirateado (root, jailbreak).
• O dispositivo ten un contrasinal configurado.
• A depuración USB non está activada no dispositivo.
• A instalación de aplicacións de fontes non fiables (carga lateral) non está permitida no dispositivo.

Se, como resultado da exploración, se considera que o dispositivo non é seguro, o antivirus notificarao ao propietario e ofrecerá desactivar a funcionalidade "perigosa" ou devolver o firmware de fábrica se hai signos de root ou jailbreak.

Segundo o costume corporativo, non basta con notificar ao usuario. Deben eliminarse as configuracións inseguras. Para iso, cómpre configurar políticas de seguranza nos dispositivos móbiles mediante o sistema UEM. E se se detecta un root/jailbreak, debes eliminar rapidamente os datos corporativos do dispositivo e bloquear o seu acceso á rede corporativa. E isto tamén é posible coa UEM. E só despois destes procedementos o dispositivo móbil pode considerarse seguro.

Busca e elimina virus

Ao contrario da crenza popular de que non hai virus para iOS, isto non é certo. Aínda hai explotacións comúns en estado salvaxe para versións máis antigas de iOS que infectar dispositivos mediante a explotación de vulnerabilidades do navegador. Ao mesmo tempo, debido á arquitectura de iOS, o desenvolvemento de antivirus para esta plataforma é imposible. O principal motivo é que as aplicacións non poden acceder á lista de aplicacións instaladas e teñen moitas restricións ao acceder aos ficheiros. Só UEM pode obter a lista de aplicacións de iOS instaladas, pero nin sequera UEM pode acceder aos ficheiros.

Con Android a situación é diferente. As aplicacións poden obter información sobre as aplicacións instaladas no dispositivo. Incluso poden acceder ás súas distribucións (por exemplo, Apk Extractor e os seus análogos). As aplicacións de Android tamén teñen a posibilidade de acceder a ficheiros (por exemplo, Total Commander, etc.). As aplicacións de Android pódense descompilar.

Con tales capacidades, o seguinte algoritmo antivirus parece lóxico:

• Comprobación de aplicacións
• Obter unha lista de aplicacións instaladas e sumas de verificación (CS) das súas distribucións.
• Comprobe as aplicacións e os seus CS primeiro na base de datos local e despois na base de datos global.
• Se a aplicación é descoñecida, transfira a súa distribución á base de datos global para a súa análise e descompilación.

• Comprobando ficheiros, buscando sinaturas de virus
• Comprobe os ficheiros CS na base de datos local e despois na base de datos global.
• Comprobe os ficheiros de contido inseguro (scripts, exploits, etc.) usando unha base de datos local e despois unha global.
• Se se detecta malware, notifícalo ao usuario e/ou bloquee o acceso do usuario ao malware e/ou reenvíe a información á UEM. É necesario transferir información a UEM porque o antivirus non pode eliminar de forma independente o malware do dispositivo.

A maior preocupación é a posibilidade de transferir distribucións de software desde o dispositivo a un servidor externo. Sen isto, é imposible implementar a "análise de comportamento" reclamada polos fabricantes de antivirus, porque No dispositivo, non pode executar a aplicación nun "sandbox" separado nin descompilala (o eficaz que é cando se usa a ofuscación é unha cuestión complexa separada). Por outra banda, as aplicacións corporativas pódense instalar en dispositivos móbiles dos empregados que son descoñecidos para o antivirus porque non están en Google Play. Estas aplicacións móbiles poden conter datos confidenciais que poden provocar que estas aplicacións non aparezan na tenda pública. Transferir tales distribucións ao fabricante do antivirus parece incorrecto desde o punto de vista da seguridade. Ten sentido engadilos ás excepcións, pero aínda non sei sobre a existencia dese mecanismo.

O malware sen privilexios de root pode

1. Debuxa a túa propia xanela invisible na parte superior da aplicación ou implemente o seu propio teclado para copiar os datos introducidos polo usuario: parámetros da conta, tarxetas bancarias, etc. Un exemplo recente é a vulnerabilidade. CVE-2020-0096, coa axuda do cal é posible substituír a pantalla activa dunha aplicación e acceder así aos datos introducidos polo usuario. Para o usuario, isto supón a posibilidade de roubo dunha conta de Google con acceso a unha copia de seguridade do dispositivo e os datos da tarxeta bancaria. Para a organización, pola súa banda, é importante non perder os seus datos. Se os datos están na memoria privada da aplicación e non están contidos nunha copia de seguridade de Google, o malware non poderá acceder a eles.

2. Acceder aos datos en directorios públicos – descargas, documentos, galería. Non se recomenda almacenar información valorada pola empresa nestes directorios porque calquera aplicación pode acceder a eles. E o propio usuario sempre poderá compartir un documento confidencial mediante calquera aplicación dispoñible.

3. Molestar ao usuario con publicidade, minar bitcoins, formar parte dunha botnet, etc.. Isto pode ter un impacto negativo no rendemento do usuario e/ou do dispositivo, pero non suporá unha ameaza para os datos corporativos.

O malware con privilexios de root pode facer calquera cousa. Son raros porque piratear dispositivos Android modernos usando unha aplicación é case imposible. A última vez que se descubriu unha vulnerabilidade deste tipo foi en 2016. Este é o sensacional Dirty COW, que recibiu o número CVE-2016-5195. A clave aquí é que, se detecta sinais dun compromiso de UEM, o cliente borrará toda a información corporativa do dispositivo, polo que a probabilidade de roubo de datos con éxito no mundo corporativo é baixa.

Os ficheiros maliciosos poden danar tanto o dispositivo móbil como os sistemas corporativos aos que ten acceso. Vexamos estes escenarios con máis detalle.

Pódese causar danos nun dispositivo móbil, por exemplo, se descargas unha imaxe nel, que, cando se abre ou intentas instalar fondo de pantalla, converterá o dispositivo nun "ladrillo" ou reinicialo. É probable que isto prexudique o dispositivo ou o usuario, pero non afectará á privacidade dos datos. Aínda que hai excepcións.

A vulnerabilidade foi discutida recentemente CVE-2020-8899. Alegause que podería usarse para acceder á consola dos dispositivos móbiles Samsung mediante unha imaxe infectada enviada por correo electrónico, mensaxería instantánea ou MMS. Aínda que o acceso á consola significa poder acceder só aos datos en directorios públicos onde non debería estar información sensible, a privacidade dos datos persoais dos usuarios estase a ver comprometida e isto asustou aos usuarios. Aínda que, de feito, só é posible atacar dispositivos mediante MMS. E para un ataque exitoso cómpre enviar de 75 a 450 (!) mensaxes. Desafortunadamente, o antivirus non axudará aquí, porque non ten acceso ao rexistro de mensaxes. Para protexerse contra isto, só hai dúas opcións. Actualiza o SO ou bloquea o MMS. Podes esperar moito tempo pola primeira opción e non esperar, porque... Os fabricantes de dispositivos non publican actualizacións para todos os dispositivos. Desactivar a recepción de MMS neste caso é moito máis sinxelo.

Os ficheiros transferidos desde dispositivos móbiles poden causar danos aos sistemas corporativos. Por exemplo, hai un ficheiro infectado nun dispositivo móbil que non pode danar o dispositivo, pero pode infectar un ordenador con Windows. O usuario envía un ficheiro deste tipo por correo electrónico ao seu compañeiro. Ábreo no PC e, así, pode infectalo. Pero polo menos dous antivirus obstaculizan este vector de ataque: un no servidor de correo electrónico e o outro no PC do destinatario. Engadir un terceiro antivirus a esta cadea nun dispositivo móbil parece francamente paranoico.

Como podes ver, a maior ameaza do mundo dixital corporativo é o malware sen privilexios de root. De onde poden vir nun dispositivo móbil?

A maioría das veces instálanse mediante carga lateral, adb ou tendas de terceiros, o que debería estar prohibido en dispositivos móbiles con acceso á rede corporativa. Hai dúas opcións para que chegue o malware: desde Google Play ou desde UEM.

Antes de publicar en Google Play, todas as aplicacións son sometidas a unha verificación obrigatoria. Pero para aplicacións cun pequeno número de instalacións, as comprobacións adoitan realizarse sen intervención humana, só en modo automático. Polo tanto, ás veces, o malware entra en Google Play, pero aínda non a miúdo. Un antivirus cuxas bases de datos se actualicen de xeito oportuno poderá detectar aplicacións con malware no dispositivo antes que Google Play Protect, que aínda se queda atrás na velocidade de actualización das bases de datos antivirus.

UEM pode instalar calquera aplicación nun dispositivo móbil, incl. malware, polo que calquera aplicación debe ser dixitalizada primeiro. As aplicacións pódense comprobar tanto durante o seu desenvolvemento mediante ferramentas de análise estática e dinámica, como inmediatamente antes da súa distribución mediante sandboxes e/ou solucións antivirus especializadas. É importante que a aplicación se verifique unha vez antes de cargala a UEM. Polo tanto, neste caso, non é necesario un antivirus nun dispositivo móbil.

Protección da rede

Dependendo do fabricante do antivirus, a protección da túa rede pode ofrecer unha ou máis das seguintes funcións.

O filtrado de URL úsase para:

• Bloqueo de tráfico por categorías de recursos. Por exemplo, para prohibir ver noticias ou outros contidos non corporativos antes do xantar, cando o empregado é máis eficaz. Na práctica, o bloqueo funciona con moitas restricións: os fabricantes de antivirus non sempre conseguen actualizar os directorios das categorías de recursos de forma oportuna, tendo en conta a presenza de moitos "espelos". Ademais, hai anonimizadores e Opera VPN, que a maioría das veces non están bloqueados.
• Protección contra phishing ou spoofing dos hosts de destino. Para iso, compróbanse primeiro os URL aos que accede o dispositivo coa base de datos antivirus. As ligazóns, así como os recursos aos que conducen (incluídas as posibles redireccións múltiples), compróbanse cunha base de datos de sitios de phishing coñecidos. O nome de dominio, o certificado e o enderezo IP tamén se verifican entre o dispositivo móbil e o servidor de confianza. Se o cliente e o servidor reciben datos diferentes, isto é MITM ("home no medio") ou bloquea o tráfico usando o mesmo antivirus ou varios tipos de proxies e filtros web na rede á que está conectado o dispositivo móbil. É difícil dicir con confianza que hai alguén no medio.

Para acceder ao tráfico móbil, o antivirus constrúe unha VPN ou utiliza as capacidades da API de accesibilidade (API para aplicacións destinadas a persoas con discapacidade). O funcionamento simultáneo de varias VPN nun dispositivo móbil é imposible, polo que a protección da rede contra antivirus que constrúen a súa propia VPN non é aplicable no mundo corporativo. Unha VPN dun antivirus simplemente non funcionará xunto cunha VPN corporativa, que se usa para acceder á rede corporativa.

Dar acceso a un antivirus á API de accesibilidade supón outro perigo. O acceso á API de accesibilidade significa esencialmente permiso para facer calquera cousa para o usuario: ver o que ve o usuario, realizar accións coas aplicacións en lugar do usuario, etc. Tendo en conta que o usuario debe conceder expresamente o acceso ao antivirus, o máis probable é que se negue a facelo. Ou, se é obrigado, comprarase outro teléfono sen antivirus.

Firewall

Baixo este nome xeral hai tres funcións:

• Recollida de estatísticas sobre o uso da rede, divididas por aplicación e tipo de rede (Wi-Fi, operador de telefonía móbil). A maioría dos fabricantes de dispositivos Android proporcionan esta información na aplicación Configuración. Duplicalo na interface antivirus móbil parece redundante. A información agregada en todos os dispositivos pode ser de interese. É recollido e analizado con éxito polos sistemas UEM.
• Limitar o tráfico móbil: establecer un límite, notificándoche cando se alcanza. Para a maioría dos usuarios de dispositivos Android, estas funcións están dispoñibles na aplicación Configuración. A configuración centralizada das restricións é tarefa de UEM, non do antivirus.
• En realidade, firewall. Ou, noutras palabras, bloqueando o acceso a certos enderezos IP e portos. Tendo en conta o DDNS en todos os recursos populares e a necesidade de habilitar a VPN para estes fins, que, como se escribiu anteriormente, non pode funcionar xunto coa VPN principal, a función parece inaplicable na práctica corporativa.

Comprobación de poder de Wi-Fi

Os antivirus móbiles poden avaliar a seguridade das redes wifi ás que se conecta o dispositivo móbil. Pódese supoñer que se comproba a presenza e forza do cifrado. Ao mesmo tempo, todos os programas modernos usan o cifrado para transmitir datos sensibles. Polo tanto, se algún programa é vulnerable a nivel de ligazón, tamén é perigoso usalo a través de calquera canle de Internet, e non só a través da wifi pública.
Polo tanto, a wifi pública, incluso sen cifrado, non é máis perigosa e non é menos segura que calquera outra canle de transmisión de datos non fiable sen cifrado.

Protección contra spam

A protección, por regra xeral, redúcese a filtrar as chamadas entrantes segundo unha lista especificada polo usuario ou segundo unha base de datos de spammers coñecidos que molestan sen parar con seguros, préstamos e invitacións ao teatro. Aínda que non están a chamar durante o autoillamento, pronto comezarán de novo. Só as chamadas están suxeitas a filtrado. Non se filtran as mensaxes dos dispositivos Android actuais. Tendo en conta que os spammers cambian regularmente os seus números e a imposibilidade de protexer as canles de texto (SMS, mensaxería instantánea), a funcionalidade é máis de márketing que de natureza práctica.

Protección antirrobo

Realización de accións remotas cun dispositivo móbil en caso de perda ou roubo. Unha alternativa aos servizos Find My iPhone e Find My Device de Apple e Google, respectivamente. A diferenza dos seus análogos, os servizos dos fabricantes de antivirus non poden bloquear un dispositivo se un atacante conseguiu restablecelo á configuración de fábrica. Pero se isto aínda non ocorreu, podes facer o seguinte co dispositivo de forma remota:

• Bloquear. Protección contra un ladrón simple, porque pódese facer facilmente restablecendo o dispositivo á configuración de fábrica mediante a recuperación.
• Descubra as coordenadas do dispositivo. Útil cando o dispositivo se perdeu recentemente.
• Activa un pitido forte para axudarche a atopar o teu dispositivo se está en modo silencioso.
• Restablece o dispositivo á configuración de fábrica. Ten sentido cando o usuario recoñeceu o dispositivo como irremediablemente perdido, pero non quere que se divulguen os datos almacenados nel.
• Para facer unha foto. Fai unha foto do atacante se ten o teléfono nas mans. A funcionalidade máis cuestionable é que a probabilidade de que un atacante admire o teléfono cunha boa iluminación é baixa. Pero a presenza no dispositivo dunha aplicación que pode controlar tranquilamente a cámara do teléfono intelixente, facer fotos e envialas ao seu servidor causa unha preocupación razoable.

A execución de comandos remotos é básica en calquera sistema UEM. O único que lles falta é a fotografía a distancia. Esta é unha forma segura de conseguir que os usuarios saquen as baterías dos seus teléfonos e as metan nunha bolsa de Faraday despois de finalizar a xornada laboral.

As funcións antirroubo dos antivirus móbiles só están dispoñibles para Android. Para iOS, só UEM pode realizar este tipo de accións. Só pode haber un UEM nun dispositivo iOS; esta é unha característica arquitectónica de iOS.

Descubrimentos

1. Non é ACEPTABLE unha situación na que un usuario pode instalar software malicioso nun teléfono.
2. Un UEM configurado correctamente nun dispositivo corporativo elimina a necesidade de antivirus.
3. Se se explotan vulnerabilidades de 0 días no sistema operativo, o antivirus é inútil. Só pode indicarlle ao administrador que o dispositivo é vulnerable.
4. O antivirus non pode determinar se se está a explotar a vulnerabilidade. Ademais de lanzar unha actualización para un dispositivo para o que o fabricante xa non publica actualizacións de seguranza. Como moito son un ou dous anos.
5. Se ignoramos os requisitos dos reguladores e do marketing, entón os antivirus móbiles corporativos só son necesarios en dispositivos Android, onde os usuarios teñen acceso a Google Play e instalación de programas de fontes de terceiros. Noutros casos, a eficacia do uso de antivirus non é máis que un placebo.

Fonte: www.habr.com