ProHoster > Blog > uprava > Mobilni antivirusi ne rade

Mobilni antivirusi ne rade

Mobilni antivirusi ne rade
TL; DR ako vaši korporativni mobilni uređaji zahtijevaju antivirus, onda sve radite pogrešno i antivirus vam neće pomoći.

Ovaj post rezultat je žestoke rasprave o tome je li antivirus potreban na poslovnom mobilnom telefonu, u kojim slučajevima radi, au kojim je beskoristan. U članku se ispituju modeli prijetnji od kojih bi antivirusni program teoretski trebao štititi.

Prodavači antivirusnih programa često uspiju uvjeriti korporativne klijente da će antivirusni programi uvelike poboljšati njihovu sigurnost, ali u većini slučajeva radi se o iluzornoj zaštiti, koja samo smanjuje oprez i korisnika i administratora.

Prava korporativna infrastruktura

Kada tvrtka ima desetke ili čak tisuće zaposlenih, nemoguće je ručno konfigurirati svaki korisnički uređaj. Postavke se mogu mijenjati svaki dan, dolaze novi zaposlenici, mobiteli i prijenosna računala im se pokvare ili izgube. Kao rezultat toga, sav posao administratora sastojao bi se od svakodnevnog postavljanja novih postavki na uređaje zaposlenika.

Ovaj problem se davno počeo rješavati na stolnim računalima. U svijetu Windowsa takvo se upravljanje obično odvija pomoću Active Directoryja, centraliziranih sustava provjere autentičnosti (Single Sign In), itd. No sada svi zaposlenici svojim računalima dodaju pametne telefone na kojima se odvija značajan dio radnih procesa i pohranjuju važni podaci. Microsoft je pokušao integrirati svoje Windows Phone u jedan ekosustav s Windowsima, ali ta je ideja umrla službenom smrću Windows Phonea. Stoga, u korporativnom okruženju, u svakom slučaju, morate birati između Androida i iOS-a.

Sada je u korporativnom okruženju koncept UEM (Unified endpoint management) u modi za upravljanje uređajima zaposlenika. Ovo je centralizirani sustav upravljanja za mobilne uređaje i stolna računala.
Mobilni antivirusi ne rade
Centralizirano upravljanje korisničkim uređajima (Objedinjeno upravljanje krajnjim točkama)

Administrator UEM sustava može postaviti različita pravila za korisničke uređaje. Na primjer, dopuštanje korisniku veće ili manje kontrole nad uređajem, instaliranje aplikacija iz izvora trećih strana itd.

Što UEM može učiniti:

Upravljanje svim postavkama — administrator može potpuno zabraniti korisniku promjenu postavki na uređaju i mijenjati ih na daljinu.

Kontrolni softver na uređaju — dopustiti mogućnost instaliranja programa na uređaj i automatsku instalaciju programa bez znanja korisnika. Administrator također može blokirati ili dopustiti instalaciju programa iz trgovine aplikacija ili iz nepouzdanih izvora (iz APK datoteka u slučaju Androida).

Daljinsko blokiranje — ako se telefon izgubi, administrator može blokirati uređaj ili izbrisati podatke. Neki sustavi također omogućuju postavljanje automatskog brisanja podataka ako telefon nije kontaktirao poslužitelj više od N sati, kako bi se eliminirala mogućnost offline pokušaja hakiranja kada su napadači uspjeli ukloniti SIM karticu prije nego što je naredba za brisanje podataka poslana s poslužitelja .

Prikupiti statistiku — pratiti aktivnost korisnika, vrijeme korištenja aplikacije, lokaciju, razinu baterije itd.

Što su UEM?

Postoje dva bitno različita pristupa za centralizirano upravljanje pametnim telefonima zaposlenika: u jednom slučaju tvrtka kupuje uređaje od jednog proizvođača za zaposlenike i obično odabire sustav upravljanja od istog dobavljača. U drugom slučaju zaposlenici koriste svoje osobne uređaje za rad i tu počinje zoološki vrt operativnih sustava, verzija i platformi.

BYOD (Bring your own device) je koncept u kojem zaposlenici koriste svoje osobne uređaje i račune za rad. Neki centralizirani sustavi upravljanja omogućuju vam dodavanje drugog radnog računa i potpuno odvajanje podataka na osobne i poslovne.

Mobilni antivirusi ne rade

Apple Business Manager - Appleov izvorni centralizirani sustav upravljanja. Može upravljati samo Apple uređajima, računalima s macOS i iOS telefonima. Podržava BYOD, stvarajući drugo izolirano okruženje s drugim iCloud računom.

Mobilni antivirusi ne rade

Google Cloud Management Endpoint — omogućuje vam upravljanje telefonima na Androidu i Apple iOS-u, kao i stolnim računalima na Windows 10. Najavljena je podrška za BYOD.

Mobilni antivirusi ne rade
Samsung Knox UEM - Podržava samo Samsung mobilne uređaje. U tom slučaju možete odmah koristiti samo Samsung Mobile Management.

Zapravo, postoji mnogo više UEM pružatelja usluga, ali nećemo ih sve analizirati u ovom članku. Najvažnije je imati na umu da takvi sustavi već postoje i omogućuju administratoru da konfigurira korisničke uređaje adekvatno postojećem modelu prijetnje.

Model prijetnje

Prije nego što izaberemo alate za zaštitu, moramo razumjeti od čega se štitimo, što se najgore može dogoditi u našem konkretnom slučaju. Relativno govoreći: naše je tijelo lako ranjivo na metak, pa čak i na viljušku i čavao, ali ne oblačimo pancirku kad izlazimo iz kuće. Stoga naš model prijetnji ne uključuje rizik od upucavanja na putu do posla, iako to statistički nije tako nevjerojatno. Štoviše, u određenim uvjetima nošenje pancirnog prsluka potpuno je opravdano.

Modeli prijetnji razlikuju se od tvrtke do tvrtke. Uzmimo, na primjer, pametni telefon kurira koji je na putu da dostavi paket klijentu. Njegov pametni telefon sadrži samo adresu trenutne dostave i rutu na karti. Najgora stvar koja se može dogoditi njegovim podacima je curenje adresa za dostavu paketa.

A evo i pametnog telefona računovođe. Ima pristup korporativnoj mreži putem VPN-a, ima instaliranu korporativnu aplikaciju klijent-banka i pohranjuje dokumente s vrijednim informacijama. Očito je da se vrijednost podataka na ova dva uređaja bitno razlikuje i treba ih različito štititi.

Hoće li nas antivirus spasiti?

Nažalost, iza marketinških slogana gubi se pravo značenje zadataka koje antivirus obavlja na mobilnom uređaju. Pokušajmo detaljno razumjeti što antivirus radi na telefonu.

Sigurnosna revizija

Većina modernih mobilnih antivirusnih programa provjerava sigurnosne postavke na uređaju. Ova se revizija ponekad naziva "provjera reputacije uređaja". Antivirusi smatraju uređaj sigurnim ako su ispunjena četiri uvjeta:

  • Uređaj nije hakiran (root, jailbreak).
  • Uređaj ima konfiguriranu lozinku.
  • USB debugging nije omogućen na uređaju.
  • Instalacija aplikacija iz nepouzdanih izvora (sideloading) nije dopuštena na uređaju.

Ako se kao rezultat skeniranja utvrdi da uređaj nije siguran, antivirus će obavijestiti vlasnika i ponuditi da onemogući "opasnu" funkcionalnost ili vrati tvornički firmware ako postoje znakovi root-a ili jailbreaka.

Prema korporativnom običaju, nije dovoljno samo obavijestiti korisnika. Nesigurne konfiguracije moraju se eliminirati. Da biste to učinili, morate konfigurirati sigurnosna pravila na mobilnim uređajima pomoću UEM sustava. A ako se otkrije root / jailbreak, morate brzo ukloniti korporativne podatke s uređaja i blokirati mu pristup korporativnoj mreži. A to je također moguće s UEM-om. I tek nakon ovih postupaka mobilni uređaj može se smatrati sigurnim.

Tražite i uklonite viruse

Suprotno uvriježenom mišljenju da ne postoje virusi za iOS, to nije točno. Još uvijek postoje uobičajeni exploiti za starije verzije iOS-a koji zaraziti uređaje kroz iskorištavanje ranjivosti preglednika. U isto vrijeme, zbog arhitekture iOS-a, razvoj antivirusa za ovu platformu je nemoguć. Glavni razlog je taj što aplikacije ne mogu pristupiti popisu instaliranih aplikacija i imaju mnoga ograničenja pri pristupu datotekama. Samo UEM može dobiti popis instaliranih iOS aplikacija, ali čak ni UEM ne može pristupiti datotekama.

S Androidom je situacija drugačija. Aplikacije mogu dobiti informacije o aplikacijama instaliranim na uređaju. Oni čak mogu pristupiti svojim distribucijama (na primjer, Apk Extractor i njegovi analozi). Android aplikacije također imaju mogućnost pristupa datotekama (primjerice, Total Commander itd.). Android aplikacije mogu se dekompilirati.

S takvim mogućnostima, sljedeći antivirusni algoritam izgleda logično:

  • Provjera aplikacije
  • Dobijte popis instaliranih aplikacija i kontrolnih zbrojeva (CS) njihovih distribucija.
  • Provjerite aplikacije i njihov CS prvo u lokalnoj, a zatim u globalnoj bazi podataka.
  • Ako je aplikacija nepoznata, prenesite njezinu distribuciju u globalnu bazu podataka za analizu i dekompilaciju.

  • Provjera datoteka, traženje virusnih potpisa
  • Provjerite CS datoteke u lokalnoj, zatim u globalnoj bazi podataka.
  • Provjerite datoteke za nesiguran sadržaj (skripte, eksploatacije itd.) pomoću lokalne, a zatim globalne baze podataka.
  • Ako se otkrije zlonamjerni softver, obavijestite korisnika i/ili blokirajte korisnikov pristup zlonamjernom softveru i/ili proslijedite informacije UEM-u. Potrebno je prenijeti podatke na UEM jer antivirusni program ne može samostalno ukloniti zlonamjerni softver s uređaja.

Najveća briga je mogućnost prijenosa softverskih distribucija s uređaja na vanjski poslužitelj. Bez toga je nemoguće provesti "analizu ponašanja" koju tvrde proizvođači antivirusnih programa, jer Na uređaju ne možete pokrenuti aplikaciju u zasebnom "sandboxu" ili je dekompilirati (koliko je učinkovita pri korištenju maskiranja zasebno je složeno pitanje). S druge strane, korporativne aplikacije mogu biti instalirane na mobilnim uređajima zaposlenika koji su nepoznati antivirusu jer se ne nalaze na Google Playu. Ove mobilne aplikacije mogu sadržavati osjetljive podatke koji mogu uzrokovati da te aplikacije ne budu navedene u javnoj trgovini. Prijenos takvih distribucija proizvođaču antivirusnih programa čini se netočnim sa sigurnosne točke gledišta. Ima smisla dodati ih iznimkama, ali još ne znam za postojanje takvog mehanizma.

Malware bez root privilegija može

1. Nacrtajte vlastiti nevidljivi prozor na vrhu aplikacije ili implementirajte vlastitu tipkovnicu za kopiranje korisnički unesenih podataka - parametara računa, bankovnih kartica itd. Nedavni primjer je ranjivost. CVE-2020-0096, pomoću kojeg je moguće zamijeniti aktivni zaslon aplikacije i na taj način dobiti pristup korisnički unesenim podacima. Za korisnika to znači mogućnost krađe Google računa s pristupom sigurnosnoj kopiji uređaja i podacima bankovne kartice. Za organizaciju je pak važno da ne izgubi svoje podatke. Ako su podaci u privatnoj memoriji aplikacije i nisu sadržani u sigurnosnoj kopiji Googlea, tada im zlonamjerni softver neće moći pristupiti.

2. Pristup podacima u javnim imenicima – preuzimanja, dokumenti, galerija. Ne preporučuje se pohranjivanje podataka vrijednih poduzeća u te direktorije jer im može pristupiti bilo koja aplikacija. A sam korisnik uvijek će moći podijeliti povjerljivi dokument pomoću bilo koje dostupne aplikacije.

3. Nervirajte korisnika oglašavanjem, rudarite bitcoine, budite dio botneta itd.. To može imati negativan utjecaj na rad korisnika i/ili uređaja, ali neće predstavljati prijetnju korporativnim podacima.

Zlonamjerni softver s root privilegijama potencijalno može učiniti bilo što. Rijetki su jer je hakiranje modernih Android uređaja pomoću aplikacije gotovo nemoguće. Zadnji put je takva ranjivost otkrivena 2016. godine. Ovo je senzacionalna Dirty COW, koja je dobila broj CVE-2016-5195. Ovdje je ključno to što će klijent, ako otkrije znakove UEM kompromitacije, izbrisati sve korporativne podatke s uređaja, tako da je vjerojatnost uspješne krađe podataka korištenjem takvog zlonamjernog softvera u korporativnom svijetu mala.

Zlonamjerne datoteke mogu naštetiti i mobilnom uređaju i korporativnim sustavima kojima ima pristup. Pogledajmo ove scenarije detaljnije.

Oštećenje mobilnog uređaja može nastati, primjerice, ako na njega skinete sliku, koja će prilikom otvaranja ili pokušaja postavljanja pozadine pretvoriti uređaj u "ciglu" ili ga ponovno pokrenuti. To će najvjerojatnije oštetiti uređaj ili korisnika, ali neće utjecati na privatnost podataka. Iako postoje iznimke.

Nedavno se raspravljalo o ranjivosti CVE-2020-8899. Navodno se moglo koristiti za pristup konzoli Samsungovih mobilnih uređaja pomoću zaražene slike poslane e-poštom, instant messengerom ili MMS-om. Iako pristup konzoli znači mogućnost pristupa samo podacima u javnim direktorijima gdje osjetljive informacije ne bi trebale biti, privatnost osobnih podataka korisnika je ugrožena i to je uplašilo korisnike. Iako je zapravo moguće napasti uređaje samo pomoću MMS-a. A za uspješan napad potrebno je poslati od 75 do 450 (!) poruka. Antivirus, nažalost, ovdje neće pomoći jer nema pristup zapisniku poruka. Za zaštitu od toga postoje samo dvije mogućnosti. Ažurirajte OS ili blokirajte MMS. Na prvu opciju možete čekati dugo i ne dočekati, jer... Proizvođači uređaja ne izdaju ažuriranja za sve uređaje. Onemogućavanje prijema MMS-a u ovom je slučaju puno lakše.

Datoteke prenesene s mobilnih uređaja mogu oštetiti korporativne sustave. Na primjer, na mobilnom uređaju postoji zaražena datoteka koja ne može naštetiti uređaju, ali može zaraziti Windows računalo. Korisnik takvu datoteku šalje e-poštom svom kolegi. Otvara ga na računalu i time ga može zaraziti. Ali najmanje dva antivirusa stoje na putu ovom vektoru napada - jedan na poslužitelju e-pošte, drugi na računalu primatelja. Dodavanje trećeg antivirusa u ovaj lanac na mobilnom uređaju čini se potpuno paranoičnim.

Kao što vidite, najveća prijetnja u korporativnom digitalnom svijetu je zlonamjerni softver bez root privilegija. Odakle mogu doći na mobilni uređaj?

Najčešće se instaliraju pomoću sideloadinga, adb ili trgovina trećih strana, što bi trebalo biti zabranjeno na mobilnim uređajima s pristupom korporativnoj mreži. Postoje dvije mogućnosti za dolazak zlonamjernog softvera: s Google Playa ili s UEM-a.

Prije objavljivanja na Google Playu, sve aplikacije prolaze obaveznu provjeru. Ali za aplikacije s malim brojem instalacija, provjere se najčešće izvode bez ljudske intervencije, samo u automatskom načinu rada. Stoga zlonamjerni softver ponekad uđe u Google Play, ali još uvijek ne često. Antivirus čije se baze podataka ažuriraju na vrijeme moći će detektirati aplikacije sa malwareom na uređaju prije Google Play Protecta koji još uvijek zaostaje u brzini ažuriranja antivirusnih baza.

UEM može instalirati bilo koju aplikaciju na mobilni uređaj, uklj. zlonamjernog softvera, tako da se svaka aplikacija mora prvo skenirati. Aplikacije se mogu provjeriti kako tijekom razvoja pomoću alata za statičku i dinamičku analizu, tako i neposredno prije distribucije pomoću specijaliziranih sandboxova i/ili antivirusnih rješenja. Važno je da se aplikacija jednom provjeri prije učitavanja u UEM. Stoga u ovom slučaju antivirusni program na mobilnom uređaju nije potreban.

Mrežna zaštita

Ovisno o proizvođaču antivirusnog programa, vaša mrežna zaštita može nuditi jednu ili više od sljedećih značajki.

URL filtriranje koristi se za:

  • Blokiranje prometa po kategorijama resursa. Na primjer, zabraniti gledanje vijesti ili drugog nekorporativnog sadržaja prije ručka, kada je zaposlenik najučinkovitiji. U praksi, blokiranje najčešće radi s mnogim ograničenjima - proizvođači antivirusnih programa ne uspijevaju uvijek ažurirati direktorije kategorija resursa na vrijeme, uzimajući u obzir prisutnost mnogih "ogledala". Osim toga, tu su anonimizatori i Opera VPN, koji najčešće nisu blokirani.
  • Zaštita od krađe identiteta ili prijevare ciljanih hostova. Da biste to učinili, URL-ovi kojima uređaj pristupa prvo se provjeravaju u antivirusnoj bazi podataka. Veze, kao i resursi do kojih vode (uključujući moguća višestruka preusmjeravanja), provjeravaju se u bazi podataka poznatih stranica za krađu identiteta. Naziv domene, certifikat i IP adresa također se provjeravaju između mobilnog uređaja i pouzdanog poslužitelja. Ako klijent i poslužitelj primaju različite podatke, onda je to ili MITM ("čovjek u sredini") ili blokiranje prometa pomoću istog antivirusa ili raznih vrsta proxyja i web filtera na mreži na koju je mobilni uređaj spojen. Teško je sa sigurnošću reći da postoji netko u sredini.

Kako bi dobio pristup mobilnom prometu, antivirus ili gradi VPN ili koristi mogućnosti Accessibility API-ja (API za aplikacije namijenjene osobama s invaliditetom). Istovremeni rad više VPN-ova na mobilnom uređaju je nemoguć, pa mrežna zaštita od antivirusa koji grade vlastiti VPN nije primjenjiva u korporativnom svijetu. VPN iz antivirusa jednostavno neće raditi zajedno s korporativnim VPN-om koji se koristi za pristup korporativnoj mreži.

Davanje antivirusnom pristupu Accessibility API-ju predstavlja još jednu opasnost. Pristup Accessibility API-ju u biti znači dopuštenje da se radi bilo što za korisnika - vidi što korisnik vidi, izvršava radnje s aplikacijama umjesto korisnika itd. S obzirom da korisnik mora antivirusu izričito odobriti takav pristup, on će to najvjerojatnije odbiti. Ili će, ako bude prisiljen, kupiti sebi drugi telefon bez antivirusa.

Vatrozid

Pod ovim općim nazivom postoje tri funkcije:

  • Prikupljanje statistike o korištenju mreže, podijeljeno prema aplikaciji i vrsti mreže (Wi-Fi, mobilni operater). Većina proizvođača Android uređaja daje te podatke u aplikaciji Postavke. Dupliciranje u mobilnom antivirusnom sučelju čini se suvišnim. Zbirni podaci o svim uređajima mogu biti od interesa. Sustavi UEM uspješno ga prikupljaju i analiziraju.
  • Ograničavanje mobilnog prometa – postavljanje ograničenja, obavještavanje kada se dosegne. Za većinu korisnika Android uređaja ove su značajke dostupne u aplikaciji Postavke. Centralizirano postavljanje ograničenja zadatak je UEM-a, a ne antivirusa.
  • Zapravo, vatrozid. Ili, drugim riječima, blokiranje pristupa određenim IP adresama i portovima. Uzimajući u obzir DDNS na svim popularnim resursima i potrebu za omogućavanjem VPN-a za te svrhe, koji, kao što je gore napisano, ne može raditi zajedno s glavnim VPN-om, funkcija se čini neprimjenjivom u korporativnoj praksi.

Wi-Fi provjera punomoći

Mobilni antivirusi mogu procijeniti sigurnost Wi-Fi mreža na koje se povezuje mobilni uređaj. Može se pretpostaviti da se provjerava prisutnost i snaga enkripcije. Istodobno, svi moderni programi koriste enkripciju za prijenos osjetljivih podataka. Dakle, ako je neki program ranjiv na razini veze, onda ga je opasno koristiti i putem bilo kojeg internetskog kanala, a ne samo putem javnog Wi-Fi-ja.
Stoga javni Wi-Fi, uključujući i bez enkripcije, nije ništa opasniji i manje siguran od bilo kojeg drugog nepouzdanog kanala za prijenos podataka bez enkripcije.

Zaštita od neželjene pošte

Zaštita se u pravilu svodi na filtriranje dolaznih poziva prema popisu koji odredi korisnik ili prema bazi poznatih spamera koji beskrajno gnjave s osiguranjem, kreditima i pozivima u kino. Iako se ne javljaju tijekom samoizolacije, uskoro će opet krenuti. Samo pozivi podliježu filtriranju. Poruke na trenutnim Android uređajima nisu filtrirane. S obzirom da spameri redovito mijenjaju brojeve i nemogućnost zaštite tekstualnih kanala (SMS, instant messengeri), funkcionalnost je više marketinške nego praktične prirode.

Zaštita od krađe

Izvođenje daljinskih radnji s mobilnim uređajem u slučaju gubitka ili krađe. Alternativa uslugama Find My iPhone i Find My Device od Applea i Googlea. Za razliku od svojih analoga, usluge proizvođača antivirusnih programa ne mogu blokirati uređaj ako ga je napadač uspio vratiti na tvorničke postavke. Ali ako se to još nije dogodilo, daljinski s uređajem možete učiniti sljedeće:

  • Blok. Zaštita od prostodušnog lopova, jer se lako može napraviti resetiranjem uređaja na tvorničke postavke putem recovery-a.
  • Saznajte koordinate uređaja. Korisno kada je uređaj nedavno izgubljen.
  • Uključite glasan zvučni signal kako biste lakše pronašli svoj uređaj ako je u nečujnom načinu rada.
  • Vratite uređaj na tvorničke postavke. Ima smisla kada je korisnik prepoznao uređaj kao nepovratno izgubljen, ali ne želi da se podaci pohranjeni na njemu otkriju.
  • Za izradu fotografije. Fotografirajte napadača ako drži telefon u rukama. Najupitnija funkcionalnost je da je vjerojatnost da će se napadač diviti telefonu pri dobrom osvjetljenju mala. Ali prisutnost na uređaju aplikacije koja može tiho kontrolirati kameru pametnog telefona, snimati fotografije i slati ih na svoj poslužitelj izaziva razumnu zabrinutost.

Daljinsko izvršavanje naredbi osnovno je u svakom UEM sustavu. Jedino što im nedostaje je fotografiranje na daljinu. Ovo je siguran način da natjerate korisnike da nakon završetka radnog dana izvade baterije iz svojih telefona i stave ih u Faraday torbu.

Protuprovalne funkcije u mobilnim antivirusima dostupne su samo za Android. Za iOS samo UEM može izvoditi takve radnje. Na iOS uređaju može postojati samo jedan UEM - ovo je arhitektonska značajka iOS-a.

Zaključci

  1. Situacija u kojoj korisnik može instalirati malware na telefon NIJE PRIHVATLJIVA.
  2. Ispravno konfiguriran UEM na korporativnom uređaju eliminira potrebu za antivirusom.
  3. Ako se iskoriste 0-dnevne ranjivosti u operativnom sustavu, antivirus je beskoristan. Može samo ukazati administratoru da je uređaj ranjiv.
  4. Antivirusni program ne može utvrditi iskorištava li se ranjivost. Kao i izdavanje ažuriranja za uređaj za koji proizvođač više ne izdaje sigurnosna ažuriranja. Najviše godinu ili dvije.
  5. Ako zanemarimo zahtjeve regulatora i marketinga, tada su korporativni mobilni antivirusi potrebni samo na Android uređajima, gdje korisnici imaju pristup Google Playu i instalaciju programa iz izvora trećih strana. U drugim slučajevima, učinkovitost korištenja antivirusa nije ništa više od placeba.

Mobilni antivirusi ne rade

Izvor: www.habr.com

Dodajte komentar