A mobil vírusirtó nem működik

TL, DR ha vállalati mobileszközei vírusirtót igényelnek, akkor mindent rosszul csinál, és a vírusirtó nem fog segíteni.

Ez a bejegyzés egy heves vita eredménye, hogy szükség van-e vírusirtóra egy vállalati mobiltelefonon, milyen esetekben működik, és milyen esetekben használhatatlan. A cikk azokat a fenyegetési modelleket vizsgálja, amelyek ellen elméletileg egy vírusirtónak védenie kell.

A víruskereső gyártóknak gyakran sikerül meggyőzniük a vállalati ügyfeleket arról, hogy egy vírusirtó nagyban javítja a biztonságukat, de ez a legtöbb esetben csak illuzórikus védelem, ami csak csökkenti a felhasználók és a rendszergazdák éberségét.

A megfelelő vállalati infrastruktúra

Ha egy vállalatnak több tíz vagy akár több ezer alkalmazottja van, lehetetlen az egyes felhasználói eszközök manuális konfigurálása. A beállítások naponta változhatnak, új alkalmazottak lépnek be, mobiltelefonjaik, laptopjaik elromlik vagy elvesznek. Ennek eredményeként az adminisztrátorok összes munkája az új beállítások napi bevezetéséből állna az alkalmazottak eszközein.

Ezt a problémát már régen elkezdték megoldani az asztali számítógépeken. A Windows világában az ilyen kezelés általában Active Directory, központi hitelesítési rendszerek (Single Sign In) stb. használatával történik. De most már minden dolgozónak van okostelefonja a számítógépéhez, amelyen a munkafolyamatok jelentős része zajlik, és fontos adatokat tárolnak. A Microsoft megpróbálta a Windows Phone-okat egyetlen ökoszisztémába integrálni a Windows rendszerrel, de ez az ötlet a Windows Phone hivatalos halálával elhalt. Vállalati környezetben tehát mindenképpen választani kell Android és iOS között.

Most vállalati környezetben az UEM (Unified Endpoint Management) koncepciója divatos az alkalmazottak eszközeinek kezelésében. Ez egy központi felügyeleti rendszer mobil eszközök és asztali számítógépek számára.

A felhasználói eszközök központosított kezelése (Egységes végpontkezelés)

Az UEM rendszergazdája különböző házirendeket állíthat be a felhasználói eszközökhöz. Például, hogy a felhasználó többé-kevésbé irányítsa az eszközt, telepítsen harmadik féltől származó alkalmazásokat stb.

Mit tud az UEM:

Kezelje az összes beállítást — az adminisztrátor teljes mértékben megtilthatja a felhasználónak, hogy módosítsa az eszköz beállításait, és távolról módosítsa azokat.

Vezérlőszoftver a készüléken — lehetővé teszi a programok készülékre történő telepítését, és a programok automatikus telepítését a felhasználó tudta nélkül. A rendszergazda letilthatja vagy engedélyezheti az alkalmazásboltból vagy nem megbízható forrásból (Android esetén APK-fájlokból) származó programok telepítését.

Távoli blokkolás — ha a telefon elveszett, a rendszergazda letilthatja a készüléket vagy törölheti az adatokat. Egyes rendszerek lehetővé teszik az automatikus adattörlés beállítását is, ha a telefon több mint N órán keresztül nem lépett kapcsolatba a szerverrel, így kiküszöbölhető az offline feltörési kísérlet lehetősége, amikor a támadóknak sikerült eltávolítaniuk a SIM-kártyát, mielőtt az adattörlési parancsot elküldték volna a szerverről. .

Gyűjts statisztikát - nyomon követheti a felhasználói tevékenységet, az alkalmazás használati idejét, a helyet, az akkumulátor töltöttségi szintjét stb.

Mik azok az UEM-ek?

A munkavállalói okostelefonok központosított kezelésének két alapvetően eltérő megközelítése létezik: az egyik esetben a vállalat egy gyártótól vásárol eszközöket alkalmazottai számára, és általában ugyanattól a beszállítótól választ irányítási rendszert. Egy másik esetben a dolgozók személyes eszközeiket használják munkához, és itt kezdődik az operációs rendszerek, verziók és platformok állatkertje.

BYOD (Hozd el saját készülékedet) egy olyan koncepció, amelyben az alkalmazottak személyes eszközeiket és fiókjaikat használják a munkához. Egyes központosított felügyeleti rendszerek lehetővé teszik egy második munkahelyi fiók hozzáadását, és az adatok teljes elkülönítését személyes és munkahelyi adatokra.

Apple üzleti menedzser - Az Apple natív központosított felügyeleti rendszere. Csak Apple eszközöket, macOS és iOS telefonokat használó számítógépeket kezelhet. Támogatja a BYOD-ot, létrehozva egy második izolált környezetet egy másik iCloud-fiókkal.

Google Cloud Endpoint Management — lehetővé teszi az Android és Apple iOS rendszerű telefonok, valamint a Windows 10 operációs rendszerű asztali számítógépek kezelését. Bejelentik a BYOD támogatást.

Samsung Knox UEM - Csak Samsung mobileszközöket támogat. Ebben az esetben azonnal használhatja csak Samsung mobilkezelés.

Valójában sokkal több UEM-szolgáltató létezik, de ebben a cikkben nem elemezzük mindegyiket. A legfontosabb dolog, amit szem előtt kell tartani, hogy ilyen rendszerek már léteznek, és lehetővé teszik az adminisztrátor számára, hogy megfelelően konfigurálja a felhasználói eszközöket a meglévő fenyegetési modellhez.

Fenyegetés modell

A védelmi eszközök kiválasztása előtt meg kell értenünk, hogy mitől védjük magunkat, mi történhet a legrosszabb az adott esetünkben. Relatívan szólva: testünk könnyen sérülékeny egy golyóval, sőt villával és szöggel is, de nem veszünk fel golyóálló mellényt, amikor elhagyjuk a házat. Ezért a fenyegetési modellünk nem tartalmazza a munkába tartó lövés kockázatát, bár statisztikailag ez nem is olyan valószínűtlen. Ráadásul bizonyos körülmények között a golyóálló mellény viselése teljesen indokolt.

A fenyegetési modellek vállalatonként eltérőek. Vegyük például egy futár okostelefonját, aki éppen azon van, hogy csomagot szállítson az ügyfélnek. Okostelefonja csak az aktuális kézbesítés címét és az útvonalat tartalmazza a térképen. A legrosszabb, ami az adataival történhet, a csomagkézbesítési címek kiszivárogtatása.

És itt van a könyvelő okostelefonja. VPN-en keresztül hozzáfér a vállalati hálózathoz, van telepítve egy vállalati ügyfélbanki alkalmazás, és értékes információkat tartalmazó dokumentumokat tárol. Nyilvánvaló, hogy ezen a két eszközön az adatok értéke jelentősen eltér, és másképp kell védeni őket.

Megment minket a vírusirtó?

Sajnos a marketing szlogenek mögött elveszik a vírusirtó által a mobileszközön végzett feladatok valódi értelme. Próbáljuk meg részletesen megérteni, mit csinál a víruskereső a telefonon.

Biztonsági audit

A legtöbb modern mobil vírusirtó ellenőrzi az eszköz biztonsági beállításait. Ezt az auditot néha „eszköz hírnevének ellenőrzésének” is nevezik. A víruskeresők négy feltétel teljesülése esetén biztonságosnak tekintik az eszközt:

• Az eszköz nincs feltörve (root, jailbreak).
• A készülék jelszóval rendelkezik.
• Az USB hibakeresés nincs engedélyezve az eszközön.
• Nem megbízható forrásból származó alkalmazások telepítése (oldalbetöltés) nem engedélyezett az eszközön.

Ha a vizsgálat eredményeként az eszköz nem biztonságos, a víruskereső értesíti a tulajdonost, és felajánlja a „veszélyes” funkció letiltását vagy a gyári firmware visszaküldését, ha root vagy jailbreak jelei vannak.

A vállalati szokások szerint nem elég csak értesíteni a felhasználót. A nem biztonságos konfigurációkat meg kell szüntetni. Ehhez biztonsági házirendeket kell konfigurálnia az UEM rendszert használó mobileszközökön. És ha root / jailbreak észlelhető, gyorsan el kell távolítania a vállalati adatokat az eszközről, és blokkolnia kell a hozzáférést a vállalati hálózathoz. És ez UEM-mel is lehetséges. És csak ezen eljárások után tekinthető biztonságosnak a mobileszköz.

Vírusok keresése és eltávolítása

A közhiedelemmel ellentétben, miszerint iOS-re nincsenek vírusok, ez nem igaz. Az iOS régebbi verzióihoz még mindig vannak gyakori kihasználások a vadonban megfertőzni az eszközöket a böngésző sebezhetőségeinek kihasználása révén. Ugyanakkor az iOS architektúrája miatt a vírusirtó fejlesztése erre a platformra lehetetlen. Ennek fő oka az, hogy az alkalmazások nem férhetnek hozzá a telepített alkalmazások listájához, és számos korlátozással rendelkeznek a fájlok elérésekor. Csak az UEM tudja elérni a telepített iOS-alkalmazások listáját, de még az UEM sem férhet hozzá a fájlokhoz.

Az Android esetében más a helyzet. Az alkalmazások információkat kaphatnak az eszközre telepített alkalmazásokról. Még a disztribúcióikat is elérhetik (például az Apk Extractor és analógjai). Az Android alkalmazások is képesek hozzáférni a fájlokhoz (például Total Commander stb.). Az Android alkalmazások visszafordíthatók.

Ilyen képességekkel a következő víruskereső algoritmus logikusnak tűnik:

• Alkalmazás ellenőrzése
• Szerezze meg a telepített alkalmazások listáját és a disztribúcióik ellenőrző összegeit (CS).
• Ellenőrizze az alkalmazásokat és azok CS-jét először a helyi, majd a globális adatbázisban.
• Ha az alkalmazás ismeretlen, vigye át a terjesztését a globális adatbázisba elemzés és visszafejtés céljából.

• Fájlok ellenőrzése, vírusszignatúrák keresése
• Ellenőrizze a CS fájlokat a helyi, majd a globális adatbázisban.
• Helyi, majd globális adatbázis segítségével ellenőrizze a fájlokat nem biztonságos tartalomra (szkriptek, exploitok stb.).
• Ha rosszindulatú programot észlel, értesítse a felhasználót és/vagy blokkolja a felhasználó hozzáférését a rosszindulatú programhoz, és/vagy továbbítsa az információt az UEM-nek. Az információkat át kell vinni az UEM-be, mert a víruskereső nem tudja önállóan eltávolítani a rosszindulatú programokat az eszközről.

A legnagyobb gondot a szoftver disztribúciók eszközről külső szerverre történő átvitelének lehetősége jelenti. E nélkül lehetetlen megvalósítani a vírusirtó gyártók által állított „viselkedéselemzést”, mert Az eszközön az alkalmazást nem lehet külön „homokozóban” futtatni, de visszafejteni (az, hogy az obfuszkációnál mennyire hatékony, az egy külön összetett kérdés). Másrészt előfordulhat, hogy vállalati alkalmazásokat telepítenek az alkalmazottak mobileszközeire, amelyeket a vírusirtó nem ismer, mivel nincsenek a Google Playen. Ezek a mobilalkalmazások érzékeny adatokat tartalmazhatnak, amelyek miatt előfordulhat, hogy ezek az alkalmazások nem szerepelnek a nyilvános áruházban. Az ilyen disztribúciók átvitele a víruskereső gyártóhoz biztonsági szempontból helytelennek tűnik. Értelemszerűen hozzá kell adni a kivételekhez, de még nem tudok ilyen mechanizmus létezéséről.

A rosszindulatú programok root jogosultságokkal nem rendelkeznek

1. Rajzolja meg saját láthatatlan ablakát az alkalmazás tetejére vagy saját billentyűzetet valósítson meg a felhasználó által megadott adatok másolásához - számlaparaméterek, bankkártyák stb. Egy friss példa a sebezhetőség. CVE-2020 0096-, melynek segítségével lehetőség van egy alkalmazás aktív képernyőjének cseréjére és ezáltal a felhasználó által megadott adatokhoz való hozzáférésre. A felhasználó számára ez egy Google-fiók ellopásának lehetőségét jelenti, hozzáféréssel az eszköz biztonsági másolatához és a bankkártya adatokhoz. A szervezet számára viszont fontos, hogy ne veszítse el adatait. Ha az adatok az alkalmazás privát memóriájában vannak, és nem szerepelnek a Google biztonsági másolatában, akkor a rosszindulatú programok nem férhetnek hozzá.

2. Hozzáférés a nyilvános címtárak adataihoz – letöltések, dokumentumok, galéria. Nem ajánlott a vállalati értékű információkat tárolni ezekben a könyvtárakban, mert azokat bármely alkalmazás elérheti. És maga a felhasználó mindig megoszthat egy bizalmas dokumentumot bármely elérhető alkalmazás segítségével.

3. Idegesítsd a felhasználót reklámozással, bányászd ki a bitcoinokat, légy része botnetnek, stb.. Ez negatív hatással lehet a felhasználó és/vagy az eszköz teljesítményére, de nem jelent veszélyt a vállalati adatokra.

A root jogosultságokkal rendelkező rosszindulatú programok bármire képesek. Ritkán fordul elő, mert a modern Android-eszközök feltörése egy alkalmazás segítségével szinte lehetetlen. Utoljára 2016-ban fedeztek fel ilyen sebezhetőséget. Ez a szenzációs Dirty COW, amely megkapta a számot CVE-2016 5195-. A kulcs itt az, hogy ha az ügyfél UEM-kompromittálásra utaló jeleket észlel, akkor az ügyfél minden vállalati információt töröl az eszközről, így a vállalati világban kicsi a valószínűsége annak, hogy sikeres adatlopás történik ilyen kártevőkkel.

A rosszindulatú fájlok károsíthatják mind a mobileszközt, mind az általa elérhető vállalati rendszereket. Nézzük ezeket a forgatókönyveket részletesebben.

A mobileszköz károsodását okozhatja például, ha olyan képet tölt le rá, amely megnyitásakor vagy háttérkép telepítésekor „téglává” változtatja vagy újraindítja a készüléket. Ez nagy valószínűséggel károsítja az eszközt vagy a felhasználót, de nem érinti az adatvédelmet. Bár vannak kivételek.

Nemrég szóba került a sebezhetőség CVE-2020 8899-. Azt állították, hogy e-mailben, azonnali üzenetküldőben vagy MMS-ben küldött fertőzött kép segítségével hozzá lehet férni a Samsung mobileszközök konzoljához. Bár a konzolhoz való hozzáférés azt jelenti, hogy csak a nyilvános címtárak adataihoz lehet hozzáférni, ahol érzékeny információk nem lehetnek, a felhasználók személyes adatainak védelme veszélybe kerül, és ez megijeszti a felhasználókat. Bár valójában csak MMS segítségével lehet eszközöket támadni. A sikeres támadáshoz pedig 75-450 (!) üzenetet kell küldenie. A vírusirtó sajnos itt nem segít, mert nem fér hozzá az üzenetnaplóhoz. Ez ellen védekezni csak két lehetőség van. Frissítse az operációs rendszert vagy blokkolja az MMS-t. Lehet sokáig várni az első lehetőségre, és nem várni, mert... Az eszközgyártók nem minden eszközre adnak ki frissítéseket. Az MMS-vétel letiltása ebben az esetben sokkal egyszerűbb.

A mobileszközökről átvitt fájlok károsíthatják a vállalati rendszereket. Például van egy fertőzött fájl egy mobileszközön, amely nem károsíthatja az eszközt, de megfertőzheti a Windows számítógépet. A felhasználó egy ilyen fájlt e-mailben küld kollégájának. Megnyitja a számítógépen, és ezáltal megfertőzheti. De legalább két vírusirtó útját állja ennek a támadási vektornak – az egyik az e-mail szerveren, a másik a címzett számítógépén. Egy harmadik vírusirtó hozzáadása ehhez a lánchoz egy mobileszközön kifejezetten paranoidnak tűnik.

Mint látható, a vállalati digitális világban a legnagyobb veszélyt a root jogosultságokkal nem rendelkező rosszindulatú programok jelentik. Honnan származhatnak mobileszközön?

Leggyakrabban sideloading, adb vagy harmadik féltől származó áruházak használatával telepítik őket, amelyeket meg kell tiltani a vállalati hálózathoz hozzáféréssel rendelkező mobileszközökön. A rosszindulatú programoknak két lehetősége van: a Google Playről vagy az UEM-ről.

A Google Playen való közzététel előtt minden alkalmazás kötelező ellenőrzésen esik át. A kis számú telepítéssel rendelkező alkalmazásoknál azonban az ellenőrzéseket leggyakrabban emberi beavatkozás nélkül, csak automatikus módban hajtják végre. Ezért néha rosszindulatú programok kerülnek a Google Playbe, de még mindig nem gyakran. Az a vírusirtó, amelynek adatbázisai időben frissülnek, a Google Play Protect előtt képes lesz észlelni az eszközön lévő rosszindulatú programokat, ami még mindig elmarad a víruskereső adatbázisok frissítési sebességétől.

Az UEM bármilyen alkalmazást telepíthet mobileszközre, beleértve a rosszindulatú program, ezért minden alkalmazást először ellenőrizni kell. Az alkalmazások mind fejlesztésük során statikus és dinamikus elemző eszközökkel, mind pedig közvetlenül a terjesztésük előtt ellenőrizhetők speciális sandboxok és/vagy vírusirtó megoldások segítségével. Fontos, hogy az alkalmazást egyszer ellenőrizzék, mielőtt feltöltik az UEM-be. Ezért ebben az esetben nincs szükség vírusirtóra a mobileszközön.

Hálózatvédelem

A víruskereső gyártójától függően a hálózat védelme az alábbi funkciók közül egyet vagy többet kínálhat.

Az URL-szűrést a következőkre használják:

• Forgalom blokkolása erőforrás-kategóriák szerint. Például megtiltani a híreket vagy más nem vállalati tartalmat ebéd előtt, amikor a munkavállaló a leghatékonyabb. A gyakorlatban a blokkolás leggyakrabban sok korlátozással működik - a víruskereső gyártóknak nem mindig sikerül időben frissíteni az erőforráskategóriák könyvtárait, figyelembe véve a sok „tükör” jelenlétét. Ezenkívül vannak névtelenítők és Opera VPN, amelyek legtöbbször nincsenek blokkolva.
• Védelem a célállomások adathalászata vagy hamisítása ellen. Ehhez először az eszköz által elért URL-címeket ellenőrzik a víruskereső adatbázisban. A linkeket, valamint az általuk vezetett erőforrásokat (beleértve az esetleges többszöri átirányításokat is) a rendszer összeveti az ismert adathalász webhelyek adatbázisával. A domain név, a tanúsítvány és az IP-cím ellenőrzése is megtörténik a mobileszköz és a megbízható szerver között. Ha a kliens és a szerver eltérő adatokat kap, akkor ez vagy MITM („ember a közepén”), vagy a forgalom blokkolása ugyanazzal a vírusirtóval vagy különféle proxykkal és webszűrőkkel azon a hálózaton, amelyhez a mobileszköz csatlakozik. Nehéz magabiztosan kijelenteni, hogy van valaki a közepén.

A mobilforgalomhoz való hozzáférés érdekében a vírusirtó VPN-t épít, vagy az Accessibility API (API a fogyatékkal élőknek szánt alkalmazásokhoz) képességeit használja. Egy mobileszközön több VPN egyidejű működtetése lehetetlen, így a saját VPN-t építő vírusirtókkal szembeni hálózati védelem a vállalati világban nem alkalmazható. A vírusirtó VPN-je egyszerűen nem működik együtt a vállalati VPN-vel, amelyet a vállalati hálózat eléréséhez használnak.

Egy vírusirtó hozzáférésének biztosítása az Accessibility API-hoz további veszélyt jelent. Az Accessibility API-hoz való hozzáférés lényegében azt jelenti, hogy a felhasználó bármit megtehet – megnézheti, mit lát a felhasználó, műveleteket hajthat végre alkalmazásokkal a felhasználó helyett stb. Tekintettel arra, hogy a felhasználónak kifejezetten meg kell adnia a vírusirtónak ezt a hozzáférést, valószínűleg megtagadja ezt. Vagy ha kényszerítik, vesz magának egy másik telefont vírusirtó nélkül.

Tűzfal

Ezen az általános néven három funkció található:

• Statisztikák gyűjtése a hálózathasználatról, alkalmazások és hálózattípusok szerint osztva (Wi-Fi, mobilszolgáltató). A legtöbb Android-eszköz gyártója megadja ezt az információt a Beállítások alkalmazásban. A mobil víruskereső felületen való megkettőzése feleslegesnek tűnik. Az összes eszközre vonatkozó összesített információ érdekes lehet. Az UEM rendszerek sikeresen összegyűjtik és elemzik.
• A mobilforgalom korlátozása – korlát beállítása, értesítés küldése annak elérésekor. A legtöbb Android-eszköz felhasználója számára ezek a funkciók a Beállítások alkalmazásban érhetők el. A korlátozások központosított beállítása az UEM feladata, nem a vírusirtó.
• Tulajdonképpen tűzfal. Vagy más szóval bizonyos IP-címekhez és portokhoz való hozzáférés blokkolása. Figyelembe véve a DDNS-t az összes népszerű erőforráson és a VPN e célokra való engedélyezésének szükségességét, amely, mint fentebb írtuk, nem működik együtt a fő VPN-nel, a funkció a vállalati gyakorlatban nem alkalmazható.

Wi-Fi meghatalmazás ellenőrzése

A mobil víruskeresők képesek értékelni azon Wi-Fi hálózatok biztonságát, amelyekhez a mobileszköz csatlakozik. Feltételezhető, hogy a titkosítás megléte és erőssége ellenőrizve van. Ugyanakkor minden modern program titkosítást használ az érzékeny adatok továbbítására. Ezért ha egy program link szinten sérülékeny, akkor az is veszélyes bármilyen internetes csatornán keresztül használni, nem csak nyilvános Wi-Fi-n keresztül.
Ezért a nyilvános Wi-Fi – beleértve a titkosítás nélkülit is – semmivel sem veszélyesebb és nem kevésbé biztonságos, mint bármely más nem megbízható adatátviteli csatorna titkosítás nélkül.

Spam-védelem

A védelem általában a bejövő hívások szűrésén múlik a felhasználó által megadott lista szerint, vagy az ismert spammerek adatbázisa szerint, akik vég nélkül biztosításokkal, kölcsönökkel és színházi meghívókkal zaklatnak. Bár nem telefonálnak önelzárás közben, hamarosan újrakezdik. Csak a hívásokra vonatkozik a szűrés. A jelenlegi Android-eszközökön lévő üzenetek nem szűrhetők. Tekintettel arra, hogy a spammerek rendszeresen változtatják a számukat és a szöveges csatornák (SMS, azonnali üzenetküldők) védelme lehetetlen, a funkcionalitás inkább marketing, mint gyakorlati jellegű.

Lopás elleni védelem

Távoli műveletek végrehajtása mobileszközzel, ha az elveszett vagy ellopták. Alternatív megoldás az Apple és a Google Find My iPhone és Find My Device szolgáltatásaira. Ellentétben analógjaikkal, a víruskereső gyártók szolgáltatásai nem blokkolhatják az eszközt, ha a támadónak sikerült visszaállítania a gyári beállításokat. De ha ez még nem történt meg, távolról a következőket teheti az eszközzel:

• Blokk. Védelem egy egyszerű tolvaj ellen, mert ez könnyen megtehető a készülék gyári beállításainak helyreállítással történő visszaállításával.
• Ismerje meg az eszköz koordinátáit. Hasznos, ha a készülék nemrégiben elveszett.
• Kapcsolja be a hangos hangjelzést, hogy segítsen megtalálni az eszközt, ha az néma módban van.
• Állítsa vissza a készüléket a gyári beállításokra. Ennek akkor van értelme, ha a felhasználó helyrehozhatatlanul elveszettnek ismerte fel az eszközt, de nem akarja, hogy a rajta tárolt adatok nyilvánosságra kerüljenek.
• Fénykép készítéséhez. Készítsen fényképet a támadóról, ha a kezében tartja a telefont. A leginkább megkérdőjelezhető funkció az, hogy kicsi annak a valószínűsége, hogy egy támadó megcsodálja a telefont jó megvilágítás mellett. De indokolt aggodalomra ad okot egy olyan alkalmazás jelenléte az eszközön, amely csendesen vezérelheti az okostelefon kameráját, fényképeket készíthet és elküldheti a szerverére.

A távoli parancsvégrehajtás alapvető minden UEM rendszerben. Már csak a távoli fotózás hiányzik belőlük. Ez egy biztos módja annak, hogy a felhasználók a munkanap végén vegyék ki az akkumulátorokat a telefonjukból, és helyezzék egy Faraday táskába.

A mobil víruskeresők lopásgátló funkciói csak Android rendszeren érhetők el. iOS esetén csak az UEM képes ilyen műveleteket végrehajtani. Egy iOS-eszközön csak egy UEM lehet – ez az iOS architekturális jellemzője.

Álláspontja

1. NEM ELFOGADHATÓ olyan helyzet, amikor a felhasználó rosszindulatú programokat telepíthet telefonjára.
2. A vállalati eszközön megfelelően konfigurált UEM szükségtelenné teszi a víruskereső alkalmazást.
3. Ha az operációs rendszer 0 napos sebezhetőségeit kihasználják, a vírusirtó használhatatlan. Csak jelezheti a rendszergazdának, hogy az eszköz sebezhető.
4. A víruskereső nem tudja megállapítani, hogy kihasználják-e a biztonsági rést. Valamint olyan eszköz frissítésének kiadása, amelyhez a gyártó már nem ad ki biztonsági frissítéseket. Legfeljebb egy-két év.
5. Ha figyelmen kívül hagyjuk a szabályozók és a marketing követelményeit, akkor a vállalati mobil vírusirtókra csak Android-eszközökön van szükség, ahol a felhasználók hozzáférhetnek a Google Playhez, és harmadik féltől származó programokat telepíthetnek. Más esetekben az antivírusok hatékonysága nem több, mint a placebo.

Forrás: will.com