Gli antivirus mobili non funzionano

TL; DR se i tuoi dispositivi mobili aziendali richiedono un antivirus, allora stai sbagliando tutto e l'antivirus non ti aiuterà.

Questo post è il risultato di un acceso dibattito sulla necessità di un antivirus su un telefono cellulare aziendale, in quali casi funziona e in quali casi è inutile. L'articolo esamina i modelli di minaccia da cui, in teoria, un antivirus dovrebbe proteggere.

I fornitori di antivirus spesso riescono a convincere i clienti aziendali che un antivirus migliorerà notevolmente la loro sicurezza, ma nella maggior parte dei casi si tratta di una protezione illusoria, che riduce solo la vigilanza sia degli utenti che degli amministratori.

La giusta infrastruttura aziendale

Quando un'azienda ha decine o addirittura migliaia di dipendenti, è impossibile configurare manualmente ciascun dispositivo utente. Le impostazioni possono cambiare ogni giorno, arrivano nuovi dipendenti, i loro telefoni cellulari e laptop si rompono o si perdono. Di conseguenza, tutto il lavoro degli amministratori consisterebbe nell’implementazione quotidiana di nuove impostazioni sui dispositivi dei dipendenti.

Questo problema ha iniziato a essere risolto sui computer desktop molto tempo fa. Nel mondo Windows tale gestione avviene solitamente tramite Active Directory, sistemi di autenticazione centralizzati (Single Sign In), ecc. Ma ora tutti i dipendenti hanno aggiunto ai propri computer gli smartphone, sui quali si svolge una parte significativa dei processi lavorativi e vengono archiviati dati importanti. Microsoft ha provato a integrare i suoi Windows Phone in un unico ecosistema con Windows, ma questa idea è morta con la morte ufficiale di Windows Phone. Pertanto, in ambiente aziendale, in ogni caso, bisogna scegliere tra Android e iOS.

Oggi in ambiente aziendale è in voga il concetto di UEM (Unified endpoint management) per la gestione dei dispositivi dei dipendenti. Si tratta di un sistema di gestione centralizzato per dispositivi mobili e computer desktop.

Gestione centralizzata dei dispositivi utente (gestione unificata degli endpoint)

L'amministratore del sistema UEM può impostare criteri diversi per i dispositivi degli utenti. Ad esempio, consentire all'utente un controllo maggiore o minore sul dispositivo, installare applicazioni da fonti di terze parti, ecc.

Cosa può fare l'UEM:

Gestisci tutte le impostazioni — l'amministratore può vietare completamente all'utente di modificare le impostazioni del dispositivo e modificarle da remoto.

Software di controllo sul dispositivo — consentire la possibilità di installare programmi sul dispositivo e installare automaticamente programmi all'insaputa dell'utente. L'amministratore può anche bloccare o consentire l'installazione di programmi dall'app store o da fonti non attendibili (da file APK nel caso di Android).

Blocco remoto — se il telefono viene smarrito, l'amministratore può bloccare il dispositivo o cancellare i dati. Alcuni sistemi consentono anche di impostare la cancellazione automatica dei dati se il telefono non contatta il server per più di N ore, per eliminare la possibilità di tentativi di hacking offline quando gli aggressori riuscivano a rimuovere la SIM card prima che il comando di cancellazione dati fosse inviato dal server .

Raccogli statistiche — tenere traccia dell'attività dell'utente, del tempo di utilizzo dell'applicazione, della posizione, del livello della batteria, ecc.

Cosa sono gli UEM?

Esistono due approcci fondamentalmente diversi per la gestione centralizzata degli smartphone dei dipendenti: in un caso l'azienda acquista dispositivi per i dipendenti da un produttore e di solito sceglie un sistema di gestione dello stesso fornitore. In un altro caso, i dipendenti utilizzano i propri dispositivi personali per lavoro, e qui inizia lo zoo di sistemi operativi, versioni e piattaforme.

BYOD (Bring your own device) è un concetto in cui i dipendenti utilizzano i propri dispositivi e account personali per lavorare. Alcuni sistemi di gestione centralizzata ti consentono di aggiungere un secondo account di lavoro e separare completamente i tuoi dati in personali e di lavoro.

Responsabile aziendale Apple - Sistema di gestione centralizzato nativo di Apple. Può gestire solo dispositivi Apple, computer con macOS e telefoni iOS. Supporta BYOD, creando un secondo ambiente isolato con un account iCloud diverso.

Gestione degli endpoint Google Cloud - consente di gestire telefoni su Android e Apple iOS, nonché desktop su Windows 10. Viene dichiarato il supporto BYOD.

Samsung Knox UEM - Supporta solo i dispositivi mobili Samsung. In questo caso, puoi utilizzare solo immediatamente Gestione dispositivi mobili Samsung.

In effetti, i fornitori UEM sono molti di più, ma non li analizzeremo tutti in questo articolo. La cosa principale da tenere presente è che tali sistemi esistono già e consentono all'amministratore di configurare i dispositivi degli utenti in modo adeguato al modello di minaccia esistente.

Modello di minaccia

Prima di scegliere gli strumenti di protezione, dobbiamo capire da cosa ci stiamo proteggendo, qual è la cosa peggiore che può accadere nel nostro caso specifico. Relativamente parlando: il nostro corpo è facilmente vulnerabile a un proiettile e persino a una forchetta e un chiodo, ma non indossiamo un giubbotto antiproiettile quando usciamo di casa. Pertanto, il nostro modello di minaccia non include il rischio di essere colpiti da colpi di arma da fuoco mentre si va al lavoro, anche se statisticamente ciò non è così improbabile. Inoltre, in determinate condizioni, indossare un giubbotto antiproiettile è del tutto giustificato.

I modelli di minaccia variano da azienda ad azienda. Prendiamo ad esempio lo smartphone di un corriere che sta andando a consegnare un pacco ad un cliente. Il suo smartphone contiene solo l'indirizzo della consegna attuale e il percorso sulla mappa. La cosa peggiore che può capitare ai suoi dati è la fuga degli indirizzi di consegna dei pacchi.

Ed ecco lo smartphone del commercialista. Ha accesso alla rete aziendale tramite VPN, ha installato un'applicazione banca-cliente aziendale e archivia documenti con informazioni preziose. Ovviamente, il valore dei dati su questi due dispositivi differisce notevolmente e dovrebbe essere protetto in modo diverso.

L’antivirus ci salverà?

Purtroppo dietro gli slogan di marketing si perde il vero significato dei compiti che un antivirus svolge su un dispositivo mobile. Proviamo a capire nel dettaglio cosa fa l'antivirus sul telefono.

Controllo di sicurezza

La maggior parte degli antivirus mobili moderni controlla le impostazioni di sicurezza del dispositivo. Questo controllo viene talvolta chiamato "controllo della reputazione del dispositivo". Gli antivirus considerano un dispositivo sicuro se vengono soddisfatte quattro condizioni:

• Il dispositivo non è stato violato (root, jailbreak).
• Il dispositivo ha una password configurata.
• Il debug USB non è abilitato sul dispositivo.
• Sul dispositivo non è consentita l'installazione di applicazioni provenienti da fonti non attendibili (sideloading).

Se, a seguito della scansione, il dispositivo risulta non sicuro, l'antivirus avviserà il proprietario e offrirà di disabilitare la funzionalità "pericolosa" o di restituire il firmware di fabbrica se ci sono segni di root o jailbreak.

Secondo la consuetudine aziendale non basta semplicemente avvisare l’utente. Le configurazioni non sicure devono essere eliminate. Per fare ciò, è necessario configurare le politiche di sicurezza sui dispositivi mobili utilizzando il sistema UEM. E se viene rilevato un root/jailbreak, è necessario rimuovere rapidamente i dati aziendali dal dispositivo e bloccarne l'accesso alla rete aziendale. E questo è possibile anche con UEM. E solo dopo queste procedure il dispositivo mobile può essere considerato sicuro.

Cerca e rimuovi virus

Contrariamente alla credenza popolare secondo cui non esistono virus per iOS, questo non è vero. Esistono ancora exploit comuni in circolazione per le versioni precedenti di iOS infettare i dispositivi attraverso lo sfruttamento delle vulnerabilità del browser. Allo stesso tempo, a causa dell'architettura iOS, lo sviluppo di antivirus per questa piattaforma è impossibile. Il motivo principale è che le applicazioni non possono accedere all'elenco delle applicazioni installate e presentano molte restrizioni durante l'accesso ai file. Solo UEM può ottenere l'elenco delle app iOS installate, ma nemmeno UEM può accedere ai file.

Con Android la situazione è diversa. Le applicazioni possono ottenere informazioni sulle applicazioni installate sul dispositivo. Possono persino accedere alle loro distribuzioni (ad esempio Apk Extractor e suoi analoghi). Le applicazioni Android hanno anche la possibilità di accedere ai file (ad esempio Total Commander, ecc.). Le applicazioni Android possono essere decompilate.

Con tali capacità, il seguente algoritmo antivirus sembra logico:

• Controllo dell'applicazione
• Ottieni un elenco delle applicazioni installate e dei checksum (CS) delle loro distribuzioni.
• Controlla le applicazioni e i relativi CS prima nel database locale e poi nel database globale.
• Se l'applicazione è sconosciuta, trasferisci la sua distribuzione nel database globale per l'analisi e la decompilazione.

• Controllo dei file, ricerca delle firme dei virus
• Controlla i file CS nel database locale, quindi nel database globale.
• Controlla i file per verificare la presenza di contenuti non sicuri (script, exploit, ecc.) utilizzando un database locale e poi globale.
• Se viene rilevato malware, avvisare l'utente e/o bloccare l'accesso dell'utente al malware e/o inoltrare le informazioni all'UEM. È necessario trasferire le informazioni a UEM perché l'antivirus non è in grado di rimuovere autonomamente il malware dal dispositivo.

La preoccupazione più grande è la possibilità di trasferire le distribuzioni software dal dispositivo a un server esterno. Senza questo, è impossibile implementare l'“analisi comportamentale” rivendicata dai produttori di antivirus, perché Sul dispositivo, non è possibile eseguire l'applicazione in una "sandbox" separata o decompilarla (quanto sia efficace quando si utilizza l'offuscamento è una questione complessa separata). D'altro canto, è possibile che sui dispositivi mobili dei dipendenti vengano installate applicazioni aziendali sconosciute all'antivirus perché non presenti su Google Play. Queste app mobili potrebbero contenere dati sensibili che potrebbero far sì che queste app non vengano elencate nello store pubblico. Il trasferimento di tali distribuzioni al produttore dell'antivirus sembra errato dal punto di vista della sicurezza. Ha senso aggiungerli alle eccezioni, ma non conosco ancora l'esistenza di un tale meccanismo.

Il malware senza privilegi di root può

1. Disegna la tua finestra invisibile sopra l'applicazione oppure implementa la tua tastiera per copiare i dati immessi dall'utente: parametri del conto, carte bancarie, ecc. Un esempio recente è la vulnerabilità. CVE-2020-0096, con l'aiuto del quale è possibile sostituire la schermata attiva di un'applicazione e ottenere così l'accesso ai dati inseriti dall'utente. Per l'utente ciò significa la possibilità di furto dell'account Google con accesso al backup del dispositivo e ai dati della carta bancaria. Per l'organizzazione, a sua volta, è importante non perdere i propri dati. Se i dati si trovano nella memoria privata dell'applicazione e non sono contenuti in un backup di Google, il malware non sarà in grado di accedervi.

2. Accedere ai dati negli elenchi pubblici – download, documenti, gallery. Non è consigliabile archiviare informazioni importanti per l'azienda in queste directory poiché è possibile accedervi da qualsiasi applicazione. E l'utente stesso potrà sempre condividere un documento riservato utilizzando qualsiasi applicazione disponibile.

3. Infastidire l'utente con la pubblicità, estrarre bitcoin, far parte di una botnet, ecc.. Ciò potrebbe avere un impatto negativo sulle prestazioni dell'utente e/o del dispositivo, ma non rappresenterà una minaccia per i dati aziendali.

Il malware con privilegi di root può potenzialmente fare qualsiasi cosa. Sono rari perché hackerare i moderni dispositivi Android utilizzando un'applicazione è quasi impossibile. L’ultima volta che è stata scoperta una vulnerabilità del genere è stata nel 2016. Questo è il sensazionale Dirty COW, a cui è stato dato il numero CVE-2016-5195. La chiave è che se il client rileva segni di compromissione di UEM, cancellerà tutte le informazioni aziendali dal dispositivo, quindi la probabilità di successo di un furto di dati utilizzando tale malware nel mondo aziendale è bassa.

I file dannosi possono danneggiare sia il dispositivo mobile che i sistemi aziendali a cui ha accesso. Esaminiamo questi scenari in modo più dettagliato.

Si possono causare danni a un dispositivo mobile, ad esempio, se si scarica su di esso un'immagine che, una volta aperta o quando si tenta di installare uno sfondo, trasforma il dispositivo in un "mattone" o lo riavvia. Ciò molto probabilmente danneggerà il dispositivo o l'utente, ma non influirà sulla privacy dei dati. Sebbene ci siano delle eccezioni.

La vulnerabilità è stata recentemente discussa CVE-2020-8899. Si presumeva che potesse essere utilizzato per accedere alla console dei dispositivi mobili Samsung utilizzando un'immagine infetta inviata tramite e-mail, messaggistica istantanea o MMS. Sebbene l'accesso alla console significhi poter accedere solo ai dati nelle directory pubbliche dove non dovrebbero esserci informazioni sensibili, la privacy dei dati personali degli utenti viene compromessa e questo ha spaventato gli utenti. Anche se in realtà è possibile attaccare i dispositivi solo tramite MMS. E per un attacco riuscito è necessario inviare dai 75 ai 450 (!) messaggi. L'antivirus, sfortunatamente, non aiuterà qui, perché non ha accesso al registro dei messaggi. Per proteggersi da questo, ci sono solo due opzioni. Aggiorna il sistema operativo o blocca gli MMS. Puoi aspettare a lungo per la prima opzione e non aspettare, perché... I produttori di dispositivi non rilasciano aggiornamenti per tutti i dispositivi. Disattivare la ricezione degli MMS in questo caso è molto più semplice.

I file trasferiti da dispositivi mobili possono causare danni ai sistemi aziendali. Ad esempio, su un dispositivo mobile è presente un file infetto che non può danneggiare il dispositivo, ma può infettare un computer Windows. L'utente invia tale file via e-mail al suo collega. Lo apre sul PC e così può infettarlo. Ma almeno due antivirus ostacolano questo vettore di attacco: uno sul server di posta elettronica, l'altro sul PC del destinatario. Aggiungere un terzo antivirus a questa catena su un dispositivo mobile sembra decisamente paranoico.

Come puoi vedere, la minaccia più grande nel mondo digitale aziendale è il malware senza privilegi di root. Da dove possono provenire su un dispositivo mobile?

Nella maggior parte dei casi vengono installati tramite sideloading, adb o store di terze parti, che dovrebbero essere vietati sui dispositivi mobili con accesso alla rete aziendale. Esistono due opzioni per l'arrivo del malware: da Google Play o da UEM.

Prima della pubblicazione su Google Play, tutte le applicazioni sono sottoposte a verifica obbligatoria. Ma per le applicazioni con un numero limitato di installazioni, i controlli vengono spesso eseguiti senza intervento umano, solo in modalità automatica. Pertanto, a volte il malware entra in Google Play, ma non spesso. Un antivirus i cui database vengono aggiornati in modo tempestivo sarà in grado di rilevare le applicazioni con malware sul dispositivo prima di Google Play Protect, che è ancora in ritardo nella velocità di aggiornamento dei database antivirus.

UEM può installare qualsiasi applicazione su un dispositivo mobile, incl. malware, quindi qualsiasi applicazione deve essere prima scansionata. Le applicazioni possono essere controllate sia durante il loro sviluppo utilizzando strumenti di analisi statici e dinamici, sia immediatamente prima della loro distribuzione utilizzando sandbox specializzati e/o soluzioni antivirus. È importante che l'applicazione venga verificata una volta prima di essere caricata su UEM. Pertanto, in questo caso non è necessario un antivirus su un dispositivo mobile.

Protezione della rete

A seconda del produttore dell'antivirus, la protezione della rete potrebbe offrire una o più delle seguenti funzionalità.

Il filtraggio URL viene utilizzato per:

• Blocco del traffico per categorie di risorse. Ad esempio, vietare di guardare notizie o altri contenuti non aziendali prima di pranzo, quando il dipendente è più attivo. In pratica, il blocco molto spesso funziona con molte restrizioni: i produttori di antivirus non sempre riescono ad aggiornare tempestivamente le directory delle categorie di risorse, tenendo conto della presenza di molti "mirror". Inoltre, ci sono anonimizzatori e Opera VPN, che molto spesso non vengono bloccati.
• Protezione contro phishing o spoofing degli host target. A tale scopo gli URL a cui accede il dispositivo vengono prima confrontati con la banca dati antivirus. I collegamenti e le risorse a cui conducono (compresi eventuali reindirizzamenti multipli) vengono confrontati con un database di siti di phishing noti. Vengono verificati anche il nome di dominio, il certificato e l'indirizzo IP tra il dispositivo mobile e il server attendibile. Se il client e il server ricevono dati diversi, si tratta di MITM ("uomo nel mezzo") o di blocco del traffico utilizzando lo stesso antivirus o vari tipi di proxy e filtri web sulla rete a cui è connesso il dispositivo mobile. È difficile dire con certezza che ci sia qualcuno di mezzo.

Per ottenere l'accesso al traffico mobile, l'antivirus crea una VPN o utilizza le funzionalità dell'API di accessibilità (API per applicazioni destinate a persone con disabilità). Il funzionamento simultaneo di più VPN su un dispositivo mobile è impossibile, quindi la protezione della rete contro gli antivirus che costruiscono la propria VPN non è applicabile nel mondo aziendale. Una VPN di un antivirus semplicemente non funzionerà insieme a una VPN aziendale, utilizzata per accedere alla rete aziendale.

Concedere a un antivirus l'accesso all'API di accessibilità rappresenta un altro pericolo. L'accesso all'API di accessibilità significa essenzialmente il permesso di fare qualsiasi cosa per l'utente: vedere ciò che vede l'utente, eseguire azioni con le applicazioni anziché con l'utente, ecc. Considerando che l'utente deve concedere esplicitamente tale accesso all'antivirus, molto probabilmente si rifiuterà di farlo. Oppure, se costretto, si comprerà un altro telefono senza antivirus.

Firewall

Sotto questo nome generale ci sono tre funzioni:

• Raccolta di statistiche sull'utilizzo della rete, suddivise per applicazione e tipologia di rete (Wi-Fi, operatore cellulare). La maggior parte dei produttori di dispositivi Android fornisce queste informazioni nell'app Impostazioni. Duplicarlo nell'interfaccia antivirus mobile sembra ridondante. Potrebbero essere interessanti informazioni aggregate su tutti i dispositivi. Viene raccolto e analizzato con successo dai sistemi UEM.
• Limitazione del traffico mobile: impostazione di un limite, notifica quando viene raggiunto. Per la maggior parte degli utenti di dispositivi Android, queste funzionalità sono disponibili nell'app Impostazioni. L'impostazione centralizzata delle restrizioni è compito dell'UEM, non dell'antivirus.
• Anzi, firewall. O, in altre parole, bloccare l'accesso a determinati indirizzi IP e porte. Tenendo conto del DDNS su tutte le risorse più diffuse e della necessità di abilitare per questi scopi la VPN, che, come scritto sopra, non può funzionare insieme alla VPN principale, la funzione sembra inapplicabile nella pratica aziendale.

Verifica procura Wi-Fi

Gli antivirus mobili possono valutare la sicurezza delle reti Wi-Fi a cui si connette il dispositivo mobile. Si può presumere che vengano verificate la presenza e la forza della crittografia. Allo stesso tempo, tutti i programmi moderni utilizzano la crittografia per trasmettere dati sensibili. Pertanto, se un programma è vulnerabile a livello di collegamento, è pericoloso utilizzarlo anche attraverso qualsiasi canale Internet e non solo tramite Wi-Fi pubblico.
Pertanto, il Wi-Fi pubblico, anche senza crittografia, non è né più pericoloso né meno sicuro di qualsiasi altro canale di trasmissione dati non affidabile senza crittografia.

Protezione da spam

La protezione, di regola, si riduce al filtraggio delle chiamate in arrivo secondo un elenco specificato dall'utente o secondo un database di noti spammer che assillano all'infinito con assicurazioni, prestiti e inviti a teatro. Anche se non chiamano durante l’autoisolamento, presto ricominceranno. Solo le chiamate sono soggette a filtraggio. I messaggi sugli attuali dispositivi Android non vengono filtrati. Considerando che gli spammer cambiano regolarmente i loro numeri e l'impossibilità di proteggere i canali di testo (SMS, messaggistica istantanea), la funzionalità è più di natura commerciale che pratica.

Protezione antifurto

Esecuzione di azioni remote con un dispositivo mobile in caso di smarrimento o furto. Un'alternativa ai servizi Trova il mio iPhone e Trova il mio dispositivo rispettivamente di Apple e Google. A differenza dei loro analoghi, i servizi dei produttori di antivirus non possono bloccare il dispositivo se l'aggressore è riuscito a ripristinarlo alle impostazioni di fabbrica. Ma se ciò non è ancora successo, puoi fare quanto segue con il dispositivo da remoto:

• Bloccare. Protezione da un ladro ingenuo, perché può essere facilmente eseguita ripristinando le impostazioni di fabbrica del dispositivo tramite ripristino.
• Scopri le coordinate del dispositivo. Utile quando il dispositivo è stato smarrito di recente.
• Attiva un segnale acustico forte per aiutarti a trovare il tuo dispositivo se è in modalità silenziosa.
• Ripristina il dispositivo alle impostazioni di fabbrica. Ha senso quando l'utente riconosce che il dispositivo è irrimediabilmente perduto, ma non vuole che i dati in esso memorizzati vengano divulgati.
• Per fare una foto. Scatta una foto dell'aggressore se tiene il telefono tra le mani. La funzionalità più discutibile è che la probabilità che un utente malintenzionato possa ammirare il telefono in condizioni di buona illuminazione è bassa. Ma la presenza sul dispositivo di un'applicazione in grado di controllare silenziosamente la fotocamera dello smartphone, scattare foto e inviarle al suo server suscita ragionevole preoccupazione.

L'esecuzione dei comandi in remoto è fondamentale in qualsiasi sistema UEM. L'unica cosa che manca a loro è la fotografia a distanza. Questo è un modo infallibile per convincere gli utenti a togliere le batterie dai loro telefoni e metterle in una borsa Faraday dopo la fine della giornata lavorativa.

Le funzioni antifurto negli antivirus mobili sono disponibili solo per Android. Per iOS, solo UEM può eseguire tali azioni. Può esserci un solo UEM su un dispositivo iOS: questa è una caratteristica architetturale di iOS.

risultati

1. Una situazione in cui un utente può installare malware su un telefono NON È ACCETTABILE.
2. L'UEM configurato correttamente su un dispositivo aziendale elimina la necessità di antivirus.
3. Se vengono sfruttate le vulnerabilità 0-day del sistema operativo, l'antivirus è inutile. Può solo indicare all'amministratore che il dispositivo è vulnerabile.
4. L'antivirus non è in grado di determinare se la vulnerabilità viene sfruttata. Oltre a rilasciare un aggiornamento per un dispositivo per il quale il produttore non rilascia più aggiornamenti di sicurezza. Al massimo è un anno o due.
5. Se ignoriamo i requisiti delle autorità di regolamentazione e del marketing, gli antivirus mobili aziendali sono necessari solo sui dispositivi Android, dove gli utenti hanno accesso a Google Play e installano programmi da fonti di terze parti. In altri casi, l'efficacia dell'utilizzo degli antivirus non è altro che un placebo.

Fonte: habr.com