Gli antivirus mobili non funzionano

TL; DR se i tuoi dispositivi mobili aziendali richiedono un antivirus, allora stai sbagliando tutto e l'antivirus non ti aiuterà.

Questo post è il risultato di un acceso dibattito sulla necessità di un antivirus su un telefono cellulare aziendale, in quali casi funziona e in quali casi è inutile. L'articolo esamina i modelli di minaccia da cui, in teoria, un antivirus dovrebbe proteggere.

I fornitori di antivirus spesso riescono a convincere i clienti aziendali che un antivirus migliorerà notevolmente la loro sicurezza, ma nella maggior parte dei casi si tratta di una protezione illusoria, che riduce solo la vigilanza sia degli utenti che degli amministratori.

La giusta infrastruttura aziendale

Quando un'azienda ha decine o addirittura migliaia di dipendenti, è impossibile configurare manualmente ciascun dispositivo utente. Le impostazioni possono cambiare ogni giorno, arrivano nuovi dipendenti, i loro telefoni cellulari e laptop si rompono o si perdono. Di conseguenza, tutto il lavoro degli amministratori consisterebbe nell’implementazione quotidiana di nuove impostazioni sui dispositivi dei dipendenti.

Questo problema è stato affrontato sui computer desktop da molto tempo. WindowsIn genere, tale gestione viene realizzata tramite Active Directory, sistemi di autenticazione centralizzati (Single Sign In), ecc. Ma ora, tutti i dipendenti hanno smartphone oltre ai loro computer, dove viene eseguita una parte significativa dei processi di lavoro e vengono archiviati dati importanti. Microsoft ha cercato di integrare i suoi telefoni in Windows Telefono in un unico ecosistema con Windowsma quest'idea morì insieme alla morte ufficiale Windows Telefono. Pertanto, in un ambiente aziendale, devi sempre scegliere tra Android e iOS.

Oggi in ambiente aziendale è in voga il concetto di UEM (Unified endpoint management) per la gestione dei dispositivi dei dipendenti. Si tratta di un sistema di gestione centralizzato per dispositivi mobili e computer desktop.

Gestione centralizzata dei dispositivi utente (gestione unificata degli endpoint)

L'amministratore del sistema UEM può impostare criteri diversi per i dispositivi degli utenti. Ad esempio, consentire all'utente un controllo maggiore o minore sul dispositivo, installare applicazioni da fonti di terze parti, ecc.

Cosa può fare l'UEM:

Gestisci tutte le impostazioni — l'amministratore può vietare completamente all'utente di modificare le impostazioni del dispositivo e modificarle da remoto.

Software di controllo sul dispositivo — consentire l'installazione di programmi sul dispositivo e installare automaticamente programmi senza che l'utente ne sia a conoscenza. L'amministratore può anche bloccare o consentire l'installazione di programmi dall'app store o da fonti non attendibili (da file APK nel caso di Android).

Blocco remoto — se il telefono viene smarrito, l'amministratore può bloccare il dispositivo o cancellare i dati. Alcuni sistemi consentono anche di impostare la cancellazione automatica dei dati se il telefono non contatta il server per più di N ore, per eliminare la possibilità di tentativi di hacking offline quando gli aggressori riuscivano a rimuovere la SIM card prima che il comando di cancellazione dati fosse inviato dal server .

Raccogli statistiche — tenere traccia dell'attività dell'utente, del tempo di utilizzo dell'applicazione, della posizione, del livello della batteria, ecc.

Cosa sono gli UEM?

Esistono due approcci fondamentalmente diversi per la gestione centralizzata degli smartphone dei dipendenti: in un caso l'azienda acquista dispositivi per i dipendenti da un produttore e di solito sceglie un sistema di gestione dello stesso fornitore. In un altro caso, i dipendenti utilizzano i propri dispositivi personali per lavoro, e qui inizia lo zoo di sistemi operativi, versioni e piattaforme.

BYOD (Bring your own device) è un concetto in cui i dipendenti utilizzano i propri dispositivi e account personali per lavorare. Alcuni sistemi di gestione centralizzata ti consentono di aggiungere un secondo account di lavoro e separare completamente i tuoi dati in personali e di lavoro.

Responsabile aziendale Apple — Il sistema di gestione centralizzato nativo di Apple. Può gestire solo dispositivi Apple, computer con macOS e telefoni iOS. È supportato il BYOD ed è possibile creare un secondo ambiente isolato con un account iCloud diverso.

Gestione degli endpoint Google Cloud - consente di controllare i telefoni su Android e Apple iOS, così come i computer desktop su Windows 10È stato dichiarato il supporto BYOD.

Samsung Knox UEM - Supporta solo i dispositivi mobili Samsung. In questo caso, puoi utilizzare solo immediatamente Gestione dispositivi mobili Samsung.

In effetti, i fornitori UEM sono molti di più, ma non li analizzeremo tutti in questo articolo. La cosa principale da tenere presente è che tali sistemi esistono già e consentono all'amministratore di configurare i dispositivi degli utenti in modo adeguato al modello di minaccia esistente.

Modello di minaccia

Prima di scegliere gli strumenti di protezione, dobbiamo capire da cosa ci stiamo proteggendo, qual è la cosa peggiore che può accadere nel nostro caso specifico. Relativamente parlando: il nostro corpo è facilmente vulnerabile a un proiettile e persino a una forchetta e un chiodo, ma non indossiamo un giubbotto antiproiettile quando usciamo di casa. Pertanto, il nostro modello di minaccia non include il rischio di essere colpiti da colpi di arma da fuoco mentre si va al lavoro, anche se statisticamente ciò non è così improbabile. Inoltre, in determinate condizioni, indossare un giubbotto antiproiettile è del tutto giustificato.

I modelli di minaccia variano da azienda ad azienda. Prendiamo ad esempio lo smartphone di un corriere che sta andando a consegnare un pacco ad un cliente. Il suo smartphone contiene solo l'indirizzo della consegna attuale e il percorso sulla mappa. La cosa peggiore che può capitare ai suoi dati è la fuga degli indirizzi di consegna dei pacchi.

Ed ecco lo smartphone del commercialista. Ha accesso alla rete aziendale tramite VPN, ha installato un'applicazione banca-cliente aziendale e archivia documenti con informazioni preziose. Ovviamente, il valore dei dati su questi due dispositivi differisce notevolmente e dovrebbe essere protetto in modo diverso.

L’antivirus ci salverà?

Purtroppo dietro gli slogan di marketing si perde il vero significato dei compiti che un antivirus svolge su un dispositivo mobile. Proviamo a capire nel dettaglio cosa fa l'antivirus sul telefono.

Controllo di sicurezza

La maggior parte degli antivirus mobili moderni controlla le impostazioni di sicurezza del dispositivo. Questo controllo viene talvolta chiamato "controllo della reputazione del dispositivo". Gli antivirus considerano un dispositivo sicuro se vengono soddisfatte quattro condizioni:

• Il dispositivo non è stato violato (root, jailbreak).
• Il dispositivo ha una password configurata.
• Il debug USB non è abilitato sul dispositivo.
• Sul dispositivo non è consentita l'installazione di applicazioni provenienti da fonti non attendibili (sideloading).

Se, a seguito della scansione, il dispositivo risulta non sicuro, l'antivirus avviserà il proprietario e offrirà di disabilitare la funzionalità "pericolosa" o di restituire il firmware di fabbrica se ci sono segni di root o jailbreak.

Secondo la consuetudine aziendale non basta semplicemente avvisare l’utente. Le configurazioni non sicure devono essere eliminate. Per fare ciò, è necessario configurare le politiche di sicurezza sui dispositivi mobili utilizzando il sistema UEM. E se viene rilevato un root/jailbreak, è necessario rimuovere rapidamente i dati aziendali dal dispositivo e bloccarne l'accesso alla rete aziendale. E questo è possibile anche con UEM. E solo dopo queste procedure il dispositivo mobile può essere considerato sicuro.

Cerca e rimuovi virus

Contrariamente alla credenza popolare secondo cui non esistono virus per iOS, questo non è vero. Esistono ancora exploit comuni in circolazione per le versioni precedenti di iOS infettare i dispositivi attraverso lo sfruttamento delle vulnerabilità del browser. Allo stesso tempo, a causa dell'architettura iOS, lo sviluppo di antivirus per questa piattaforma è impossibile. Il motivo principale è che le applicazioni non possono accedere all'elenco delle applicazioni installate e presentano molte restrizioni durante l'accesso ai file. Solo UEM può ottenere l'elenco delle app iOS installate, ma nemmeno UEM può accedere ai file.

С Android La situazione è diversa. Le app possono ottenere informazioni sulle app installate sul dispositivo. Possono persino accedere alle loro distribuzioni (ad esempio, Apk Extractor e simili). Android-Le applicazioni hanno anche la capacità di accedere ai file (ad esempio, Total Commander, ecc.). Android- Le applicazioni possono essere decompilate.

Con tali capacità, il seguente algoritmo antivirus sembra logico:

• Controllo dell'applicazione
• Ottieni un elenco delle applicazioni installate e dei checksum (CS) delle loro distribuzioni.
• Controlla le applicazioni e i relativi CS prima nel database locale e poi nel database globale.
• Se l'applicazione è sconosciuta, trasferisci la sua distribuzione nel database globale per l'analisi e la decompilazione.

• Controllo dei file, ricerca delle firme dei virus
• Controlla i file CS nel database locale, quindi nel database globale.
• Controlla i file per verificare la presenza di contenuti non sicuri (script, exploit, ecc.) utilizzando un database locale e poi globale.
• Se viene rilevato malware, avvisare l'utente e/o bloccare l'accesso dell'utente al malware e/o inoltrare le informazioni all'UEM. È necessario trasferire le informazioni a UEM perché l'antivirus non è in grado di rimuovere autonomamente il malware dal dispositivo.

La preoccupazione più grande è la possibilità di trasferire le distribuzioni software dal dispositivo a un server esterno. Senza questo, è impossibile implementare l'“analisi comportamentale” rivendicata dai produttori di antivirus, perché Sul dispositivo, non è possibile eseguire l'applicazione in una "sandbox" separata o decompilarla (quanto sia efficace quando si utilizza l'offuscamento è una questione complessa separata). D'altro canto, è possibile che sui dispositivi mobili dei dipendenti vengano installate applicazioni aziendali sconosciute all'antivirus perché non presenti su Google Play. Queste app mobili potrebbero contenere dati sensibili che potrebbero far sì che queste app non vengano elencate nello store pubblico. Il trasferimento di tali distribuzioni al produttore dell'antivirus sembra errato dal punto di vista della sicurezza. Ha senso aggiungerli alle eccezioni, ma non conosco ancora l'esistenza di un tale meccanismo.

Il malware senza privilegi di root può

1. Disegna la tua finestra invisibile sopra l'applicazione oppure implementa la tua tastiera per copiare i dati immessi dall'utente: parametri del conto, carte bancarie, ecc. Un esempio recente è la vulnerabilità. CVE-2020-0096, con l'aiuto del quale è possibile sostituire la schermata attiva di un'applicazione e ottenere così l'accesso ai dati inseriti dall'utente. Per l'utente ciò significa la possibilità di furto dell'account Google con accesso al backup del dispositivo e ai dati della carta bancaria. Per l'organizzazione, a sua volta, è importante non perdere i propri dati. Se i dati si trovano nella memoria privata dell'applicazione e non sono contenuti in un backup di Google, il malware non sarà in grado di accedervi.

2. Accedere ai dati negli elenchi pubblici – download, documenti, gallery. Non è consigliabile archiviare informazioni importanti per l'azienda in queste directory poiché è possibile accedervi da qualsiasi applicazione. E l'utente stesso potrà sempre condividere un documento riservato utilizzando qualsiasi applicazione disponibile.

3. Infastidire l'utente con la pubblicità, estrarre bitcoin, far parte di una botnet, ecc.. Ciò potrebbe avere un impatto negativo sulle prestazioni dell'utente e/o del dispositivo, ma non rappresenterà una minaccia per i dati aziendali.

I malware con privilegi di root possono potenzialmente fare qualsiasi cosa. Sono rari perché moderni Android-i dispositivi che utilizzano l'app è praticamente impossibile. L'ultima volta che è stata scoperta una vulnerabilità simile è stato nel 2016. Si trattava della famigerata Dirty COW, a cui è stato assegnato il numero CVE-2016-5195. La chiave è che se il client rileva segni di compromissione di UEM, cancellerà tutte le informazioni aziendali dal dispositivo, quindi la probabilità di successo di un furto di dati utilizzando tale malware nel mondo aziendale è bassa.

I file dannosi possono danneggiare sia il dispositivo mobile che i sistemi aziendali a cui ha accesso. Esaminiamo questi scenari in modo più dettagliato.

Si possono causare danni a un dispositivo mobile, ad esempio, se si scarica su di esso un'immagine che, una volta aperta o quando si tenta di installare uno sfondo, trasforma il dispositivo in un "mattone" o lo riavvia. Ciò molto probabilmente danneggerà il dispositivo o l'utente, ma non influirà sulla privacy dei dati. Sebbene ci siano delle eccezioni.

La vulnerabilità è stata recentemente discussa CVE-2020-8899. Si presumeva che potesse essere utilizzato per accedere alla console dei dispositivi mobili Samsung utilizzando un'immagine infetta inviata tramite e-mail, messaggistica istantanea o MMS. Sebbene l'accesso alla console significhi poter accedere solo ai dati nelle directory pubbliche dove non dovrebbero esserci informazioni sensibili, la privacy dei dati personali degli utenti viene compromessa e questo ha spaventato gli utenti. Anche se in realtà è possibile attaccare i dispositivi solo tramite MMS. E per un attacco riuscito è necessario inviare dai 75 ai 450 (!) messaggi. L'antivirus, sfortunatamente, non aiuterà qui, perché non ha accesso al registro dei messaggi. Per proteggersi da questo, ci sono solo due opzioni. Aggiorna il sistema operativo o blocca gli MMS. Puoi aspettare a lungo per la prima opzione e non aspettare, perché... I produttori di dispositivi non rilasciano aggiornamenti per tutti i dispositivi. Disattivare la ricezione degli MMS in questo caso è molto più semplice.

I file trasferiti da dispositivi mobili possono causare danni ai sistemi aziendali. Ad esempio, un dispositivo mobile potrebbe contenere un file infetto che potrebbe non danneggiare il dispositivo ma potrebbe infettare Windows- computer. Un utente invia un file di questo tipo via e-mail a un collega. Il collega lo apre sul proprio PC, potenzialmente infettandolo. Ma questo vettore di attacco richiede almeno due programmi antivirus: uno sul server di posta elettronica e uno sul PC del destinatario. Aggiungere un terzo programma antivirus su un dispositivo mobile sembra decisamente eccessivo.

Come puoi vedere, la minaccia più grande nel mondo digitale aziendale è il malware senza privilegi di root. Da dove possono provenire su un dispositivo mobile?

Nella maggior parte dei casi vengono installati tramite sideloading, adb o store di terze parti, che dovrebbero essere vietati sui dispositivi mobili con accesso alla rete aziendale. Esistono due opzioni per l'arrivo del malware: da Google Play o da UEM.

Prima della pubblicazione su Google Play, tutte le applicazioni sono sottoposte a verifica obbligatoria. Ma per le applicazioni con un numero limitato di installazioni, i controlli vengono spesso eseguiti senza intervento umano, solo in modalità automatica. Pertanto, a volte il malware entra in Google Play, ma non spesso. Un antivirus i cui database vengono aggiornati in modo tempestivo sarà in grado di rilevare le applicazioni con malware sul dispositivo prima di Google Play Protect, che è ancora in ritardo nella velocità di aggiornamento dei database antivirus.

UEM può installare qualsiasi applicazione su un dispositivo mobile, incl. malware, quindi qualsiasi applicazione deve essere prima scansionata. Le applicazioni possono essere controllate sia durante il loro sviluppo utilizzando strumenti di analisi statici e dinamici, sia immediatamente prima della loro distribuzione utilizzando sandbox specializzati e/o soluzioni antivirus. È importante che l'applicazione venga verificata una volta prima di essere caricata su UEM. Pertanto, in questo caso non è necessario un antivirus su un dispositivo mobile.

Protezione della rete

A seconda del produttore dell'antivirus, la protezione della rete potrebbe offrire una o più delle seguenti funzionalità.

Il filtraggio URL viene utilizzato per:

• Blocco del traffico per categorie di risorse. Ad esempio, vietare di guardare notizie o altri contenuti non aziendali prima di pranzo, quando il dipendente è più attivo. In pratica, il blocco molto spesso funziona con molte restrizioni: i produttori di antivirus non sempre riescono ad aggiornare tempestivamente le directory delle categorie di risorse, tenendo conto della presenza di molti "mirror". Inoltre, ci sono anonimizzatori e Opera VPN, che molto spesso non vengono bloccati.
• Protezione contro phishing o spoofing degli host target. A tale scopo gli URL a cui accede il dispositivo vengono prima confrontati con la banca dati antivirus. I collegamenti e le risorse a cui conducono (compresi eventuali reindirizzamenti multipli) vengono confrontati con un database di siti di phishing noti. Vengono verificati anche il nome di dominio, il certificato e l'indirizzo IP tra il dispositivo mobile e il server attendibile. Se il client e il server ricevono dati diversi, si tratta di MITM ("uomo nel mezzo") o di blocco del traffico utilizzando lo stesso antivirus o vari tipi di proxy e filtri web sulla rete a cui è connesso il dispositivo mobile. È difficile dire con certezza che ci sia qualcuno di mezzo.

Per ottenere l'accesso al traffico mobile, l'antivirus crea una VPN o utilizza le funzionalità dell'API di accessibilità (API per applicazioni destinate a persone con disabilità). Il funzionamento simultaneo di più VPN su un dispositivo mobile è impossibile, quindi la protezione della rete contro gli antivirus che costruiscono la propria VPN non è applicabile nel mondo aziendale. Una VPN di un antivirus semplicemente non funzionerà insieme a una VPN aziendale, utilizzata per accedere alla rete aziendale.

Concedere a un antivirus l'accesso all'API di accessibilità rappresenta un altro pericolo. L'accesso all'API di accessibilità significa essenzialmente il permesso di fare qualsiasi cosa per l'utente: vedere ciò che vede l'utente, eseguire azioni con le applicazioni anziché con l'utente, ecc. Considerando che l'utente deve concedere esplicitamente tale accesso all'antivirus, molto probabilmente si rifiuterà di farlo. Oppure, se costretto, si comprerà un altro telefono senza antivirus.

Firewall

Sotto questo nome generale ci sono tre funzioni:

• Raccolta di statistiche sull'utilizzo della rete per applicazione e tipo di rete (Wi-Fi, operatore mobile). La maggior parte dei produttori AndroidI dispositivi forniscono questi dati nell'app Impostazioni. Duplicarli in un'interfaccia antivirus per dispositivi mobili sembra superfluo. Le informazioni aggregate provenienti da tutti i dispositivi potrebbero essere di interesse. I sistemi UEM raccolgono e analizzano con successo queste informazioni.
• Limitazione dei dati mobili: impostazione di un limite e ricezione di una notifica al suo raggiungimento. Per la maggior parte degli utenti AndroidSui dispositivi, queste funzionalità sono disponibili nell'app Impostazioni. La gestione centralizzata delle restrizioni è di competenza di UEM, non dell'antivirus.
• Anzi, firewall. O, in altre parole, bloccare l'accesso a determinati indirizzi IP e porte. Tenendo conto del DDNS su tutte le risorse più diffuse e della necessità di abilitare per questi scopi la VPN, che, come scritto sopra, non può funzionare insieme alla VPN principale, la funzione sembra inapplicabile nella pratica aziendale.

Verifica procura Wi-Fi

Gli antivirus mobili possono valutare la sicurezza delle reti Wi-Fi a cui si connette il dispositivo mobile. Si può presumere che vengano verificate la presenza e la forza della crittografia. Allo stesso tempo, tutti i programmi moderni utilizzano la crittografia per trasmettere dati sensibili. Pertanto, se un programma è vulnerabile a livello di collegamento, è pericoloso utilizzarlo anche attraverso qualsiasi canale Internet e non solo tramite Wi-Fi pubblico.
Pertanto, il Wi-Fi pubblico, anche senza crittografia, non è né più pericoloso né meno sicuro di qualsiasi altro canale di trasmissione dati non affidabile senza crittografia.

Protezione da spam

La protezione in genere si basa sul filtraggio delle chiamate in entrata in base a un elenco specificato dall'utente o a un database di spammer noti che ti importunano incessantemente con offerte di assicurazioni, prestiti e inviti a teatro. Anche se non hanno chiamato durante l'isolamento, ricominceranno presto a farlo. Vengono filtrate solo le chiamate. Messaggi su siti pertinenti Android Non vengono filtrati. Dato che gli spammer cambiano regolarmente i loro numeri e che è impossibile proteggere i canali di testo (SMS, messaggistica istantanea), questa funzionalità è più una strategia di marketing che una soluzione pratica.

Protezione antifurto

Esegui azioni a distanza sul tuo dispositivo mobile in caso di smarrimento o furto. Un'alternativa al servizio Dov'è. iPhone e Trova il mio dispositivo di Apple e Google, rispettivamente. A differenza delle loro controparti, i servizi dei fornitori di antivirus non possono bloccare un dispositivo se un utente malintenzionato lo ha già ripristinato alle impostazioni di fabbrica. Tuttavia, se ciò non è ancora accaduto, è possibile eseguire da remoto le seguenti operazioni:

• Bloccare. Protezione da un ladro ingenuo, perché può essere facilmente eseguita ripristinando le impostazioni di fabbrica del dispositivo tramite ripristino.
• Scopri le coordinate del dispositivo. Utile quando il dispositivo è stato smarrito di recente.
• Attiva un segnale acustico forte per aiutarti a trovare il tuo dispositivo se è in modalità silenziosa.
• Ripristina il dispositivo alle impostazioni di fabbrica. Ha senso quando l'utente riconosce che il dispositivo è irrimediabilmente perduto, ma non vuole che i dati in esso memorizzati vengano divulgati.
• Per fare una foto. Scatta una foto dell'aggressore se tiene il telefono tra le mani. La funzionalità più discutibile è che la probabilità che un utente malintenzionato possa ammirare il telefono in condizioni di buona illuminazione è bassa. Ma la presenza sul dispositivo di un'applicazione in grado di controllare silenziosamente la fotocamera dello smartphone, scattare foto e inviarle al suo server suscita ragionevole preoccupazione.

L'esecuzione dei comandi in remoto è fondamentale in qualsiasi sistema UEM. L'unica cosa che manca a loro è la fotografia a distanza. Questo è un modo infallibile per convincere gli utenti a togliere le batterie dai loro telefoni e metterle in una borsa Faraday dopo la fine della giornata lavorativa.

Le funzionalità antifurto negli antivirus per dispositivi mobili sono disponibili solo per AndroidSu iOS, solo UEM può eseguire tali azioni. Su un dispositivo iOS può essere presente un solo UEM: si tratta di una caratteristica architetturale di iOS.

risultati

1. Una situazione in cui un utente può installare malware su un telefono NON È ACCETTABILE.
2. L'UEM configurato correttamente su un dispositivo aziendale elimina la necessità di antivirus.
3. Se vengono sfruttate le vulnerabilità 0-day del sistema operativo, l'antivirus è inutile. Può solo indicare all'amministratore che il dispositivo è vulnerabile.
4. L'antivirus non è in grado di determinare se la vulnerabilità viene sfruttata. Oltre a rilasciare un aggiornamento per un dispositivo per il quale il produttore non rilascia più aggiornamenti di sicurezza. Al massimo è un anno o due.
5. Se ci astraiamo dai requisiti delle autorità di regolamentazione e del marketing, allora gli antivirus mobili aziendali sono necessari solo per Android Dispositivi in ​​cui gli utenti hanno accesso a Google Play e installano app da fonti di terze parti. In altri casi, l'efficacia del software antivirus è poco più che un placebo.

Fonte: habr.com