ProHoster > Blog > administração > Antivírus móveis não funcionam

Antivírus móveis não funcionam

Antivírus móveis não funcionam
TL, DR se seus dispositivos móveis corporativos exigem antivírus, você está fazendo tudo errado e o antivírus não o ajudará.

Este post é o resultado de um acalorado debate sobre se um antivírus é necessário em um celular corporativo, em que casos funciona e em que casos é inútil. O artigo examina os modelos de ameaças contra os quais, em teoria, um antivírus deveria proteger.

Os fornecedores de antivírus muitas vezes conseguem convencer os clientes corporativos de que um antivírus melhorará muito sua segurança, mas na maioria dos casos trata-se de uma proteção ilusória, que apenas reduz a vigilância tanto dos usuários quanto dos administradores.

A infraestrutura corporativa certa

Quando uma empresa tem dezenas ou até milhares de funcionários, é impossível configurar manualmente cada dispositivo do usuário. As configurações podem mudar todos os dias, novos funcionários chegam, seus celulares e laptops quebram ou se perdem. Como resultado, todo o trabalho dos administradores consistiria na implantação diária de novas configurações nos dispositivos dos funcionários.

Esse problema começou a ser resolvido em computadores desktop há muito tempo. No mundo Windows, esse gerenciamento geralmente ocorre por meio do Active Directory, sistemas de autenticação centralizados (Single Sign In), etc. Mas agora todos os funcionários têm smartphones adicionados aos seus computadores, nos quais ocorre uma parte significativa dos processos de trabalho e são armazenados dados importantes. A Microsoft tentou integrar seus Windows Phones em um único ecossistema com o Windows, mas essa ideia morreu com a morte oficial do Windows Phone. Portanto, em ambiente corporativo, em qualquer caso, é preciso escolher entre Android e iOS.

Agora em um ambiente corporativo, o conceito de UEM (Gerenciamento unificado de endpoints) está em voga para gerenciar dispositivos de funcionários. Este é um sistema de gerenciamento centralizado para dispositivos móveis e computadores desktop.
Antivírus móveis não funcionam
Gerenciamento centralizado de dispositivos de usuários (gerenciamento unificado de endpoints)

O administrador do sistema UEM pode definir políticas diferentes para dispositivos de usuário. Por exemplo, permitir ao usuário maior ou menos controle sobre o dispositivo, instalar aplicativos de fontes de terceiros, etc.

O que a UEM pode fazer:

Gerenciar todas as configurações — o administrador pode proibir completamente o usuário de alterar as configurações do dispositivo e alterá-las remotamente.

Software de controle no dispositivo — permitir a instalação de programas no dispositivo e a instalação automática de programas sem o conhecimento do usuário. O administrador também pode bloquear ou permitir a instalação de programas da loja de aplicativos ou de fontes não confiáveis ​​(de arquivos APK no caso do Android).

Bloqueio remoto — se o telefone for perdido, o administrador pode bloquear o dispositivo ou limpar os dados. Alguns sistemas também permitem definir a exclusão automática de dados se o telefone não entrar em contato com o servidor por mais de N horas, para eliminar a possibilidade de tentativas de hacking offline quando os invasores conseguiram remover o cartão SIM antes que o comando de limpeza de dados fosse enviado do servidor .

Colete estatísticas — rastreie a atividade do usuário, tempo de uso do aplicativo, localização, nível da bateria, etc.

O que são UEM?

Existem duas abordagens fundamentalmente diferentes para o gerenciamento centralizado de smartphones dos funcionários: em um caso, a empresa compra dispositivos de um fabricante para os funcionários e geralmente escolhe um sistema de gerenciamento do mesmo fornecedor. Em outro caso, os funcionários utilizam seus dispositivos pessoais para trabalhar, e aqui começa o zoológico de sistemas operacionais, versões e plataformas.

BYOD (Traga seu próprio dispositivo) é um conceito em que os funcionários usam seus dispositivos e contas pessoais para trabalhar. Alguns sistemas de gerenciamento centralizado permitem adicionar uma segunda conta de trabalho e separar completamente seus dados em pessoais e de trabalho.

Antivírus móveis não funcionam

Gerente de Negócios Apple - Sistema de gerenciamento centralizado nativo da Apple. Só pode gerenciar dispositivos Apple, computadores com macOS e telefones iOS. Suporta BYOD, criando um segundo ambiente isolado com uma conta iCloud diferente.

Antivírus móveis não funcionam

Gerenciamento de endpoints do Google Cloud — permite gerenciar telefones Android e Apple iOS, bem como desktops no Windows 10. O suporte BYOD é declarado.

Antivírus móveis não funcionam
Samsung Knox UEM - Suporta apenas dispositivos móveis Samsung. Neste caso, você pode usar imediatamente apenas Gerenciamento móvel Samsung.

Na verdade, existem muitos mais provedores de UEM, mas não iremos analisá-los todos neste artigo. A principal coisa a ter em mente é que tais sistemas já existem e permitem ao administrador configurar os dispositivos dos usuários de forma adequada ao modelo de ameaça existente.

Modelo de ameaça

Antes de escolher as ferramentas de proteção, precisamos entender do que estamos nos protegendo, o que de pior pode acontecer no nosso caso particular. Relativamente falando: nosso corpo é facilmente vulnerável a uma bala e até mesmo a um garfo e a um prego, mas não colocamos colete à prova de balas ao sair de casa. Portanto, nosso modelo de ameaça não inclui o risco de levar um tiro no caminho para o trabalho, embora estatisticamente isso não seja tão improvável. Além disso, em certas condições, o uso de colete à prova de balas é totalmente justificado.

Os modelos de ameaças variam de empresa para empresa. Tomemos, por exemplo, o smartphone de um mensageiro que está a caminho para entregar uma encomenda a um cliente. Seu smartphone contém apenas o endereço da entrega atual e a rota no mapa. A pior coisa que pode acontecer com seus dados é o vazamento dos endereços de entrega de encomendas.

E aqui está o smartphone do contador. Ele tem acesso à rede corporativa via VPN, possui aplicativo cliente-banco corporativo instalado e armazena documentos com informações valiosas. Obviamente, o valor dos dados nestes dois dispositivos difere significativamente e devem ser protegidos de forma diferente.

O antivírus nos salvará?

Infelizmente, por trás dos slogans de marketing, perde-se o real significado das tarefas que um antivírus executa em um dispositivo móvel. Vamos tentar entender detalhadamente o que o antivírus faz no telefone.

Auditoria de segurança

A maioria dos antivírus móveis modernos audita as configurações de segurança do dispositivo. Essa auditoria às vezes é chamada de “verificação de reputação do dispositivo”. Os antivírus consideram um dispositivo seguro se quatro condições forem atendidas:

  • O dispositivo não foi hackeado (root, jailbreak).
  • O dispositivo possui uma senha configurada.
  • A depuração USB não está habilitada no dispositivo.
  • A instalação de aplicativos de fontes não confiáveis ​​(sideload) não é permitida no dispositivo.

Se, como resultado da verificação, o dispositivo for considerado inseguro, o antivírus notificará o proprietário e se oferecerá para desativar a funcionalidade “perigosa” ou devolver o firmware de fábrica se houver sinais de root ou jailbreak.

Segundo o costume corporativo, não basta apenas avisar o usuário. Configurações inseguras devem ser eliminadas. Para fazer isso, você precisa configurar políticas de segurança em dispositivos móveis usando o sistema UEM. E se um root/jailbreak for detectado, você deverá remover rapidamente os dados corporativos do dispositivo e bloquear seu acesso à rede corporativa. E isso também é possível com a UEM. E somente após esses procedimentos o dispositivo móvel poderá ser considerado seguro.

Pesquise e remova vírus

Ao contrário da crença popular de que não existem vírus para iOS, isso não é verdade. Ainda existem explorações comuns para versões mais antigas do iOS que infectar dispositivos através da exploração de vulnerabilidades do navegador. Ao mesmo tempo, devido à arquitetura do iOS, o desenvolvimento de antivírus para esta plataforma é impossível. O principal motivo é que os aplicativos não conseguem acessar a lista de aplicativos instalados e possuem muitas restrições ao acessar os arquivos. Somente o UEM pode obter a lista de aplicativos iOS instalados, mas nem mesmo o UEM pode acessar os arquivos.

Com o Android a situação é diferente. Os aplicativos podem obter informações sobre os aplicativos instalados no dispositivo. Eles podem até acessar suas distribuições (por exemplo, Apk Extractor e seus análogos). Os aplicativos Android também têm a capacidade de acessar arquivos (por exemplo, Total Commander, etc.). Os aplicativos Android podem ser descompilados.

Com esses recursos, o seguinte algoritmo antivírus parece lógico:

  • Verificando aplicativos
  • Obtenha uma lista de aplicativos instalados e somas de verificação (CS) de suas distribuições.
  • Verifique as aplicações e seus CS primeiro no banco de dados local e depois no banco de dados global.
  • Caso a aplicação seja desconhecida, transfira sua distribuição para o banco de dados global para análise e descompilação.

  • Verificando arquivos, procurando assinaturas de vírus
  • Verifique os arquivos CS no banco de dados local e depois no banco de dados global.
  • Verifique se há conteúdo inseguro nos arquivos (scripts, explorações, etc.) usando um banco de dados local e, em seguida, um banco de dados global.
  • Se algum malware for detectado, notifique o usuário e/ou bloqueie o acesso do usuário ao malware e/ou encaminhe as informações para a UEM. É necessário transferir informações para o UEM porque o antivírus não consegue remover malware do dispositivo de forma independente.

A maior preocupação é a possibilidade de transferir distribuições de software do dispositivo para um servidor externo. Sem isso, é impossível implementar a “análise comportamental” reivindicada pelos fabricantes de antivírus, porque No dispositivo, você não pode executar o aplicativo em uma “sandbox” separada ou descompilá-lo (quão eficaz ele é ao usar ofuscação é uma questão complexa separada). Por outro lado, aplicativos corporativos podem ser instalados em dispositivos móveis de funcionários que são desconhecidos do antivírus por não estarem no Google Play. Esses aplicativos móveis podem conter dados confidenciais que podem fazer com que esses aplicativos não sejam listados na loja pública. Transferir essas distribuições para o fabricante do antivírus parece incorreto do ponto de vista da segurança. Faz sentido adicioná-los às exceções, mas ainda não sei da existência de tal mecanismo.

Malware sem privilégios de root pode

1. Desenhe sua própria janela invisível na parte superior do aplicativo ou implemente seu próprio teclado para copiar dados inseridos pelo usuário - parâmetros de conta, cartões bancários, etc. Um exemplo recente é a vulnerabilidade. CVE-2020-0096, com o qual é possível substituir a tela ativa de um aplicativo e assim obter acesso aos dados inseridos pelo usuário. Para o usuário, isso significa a possibilidade de roubo de uma conta Google com acesso ao backup do dispositivo e aos dados do cartão bancário. Para a organização, por sua vez, é importante não perder os seus dados. Se os dados estiverem na memória privada do aplicativo e não estiverem contidos em um backup do Google, o malware não conseguirá acessá-los.

2. Acesse dados em diretórios públicos – downloads, documentos, galeria. Não é recomendado armazenar informações de valor para a empresa nesses diretórios porque qualquer aplicação pode acessá-los. E o próprio usuário sempre poderá compartilhar um documento confidencial através de qualquer aplicativo disponível.

3. Irritar o usuário com publicidade, minerar bitcoins, fazer parte de uma botnet, etc.. Isso pode ter um impacto negativo no desempenho do usuário e/ou do dispositivo, mas não representará uma ameaça aos dados corporativos.

Malware com privilégios de root pode potencialmente fazer qualquer coisa. Eles são raros porque é quase impossível hackear dispositivos Android modernos usando um aplicativo. A última vez que tal vulnerabilidade foi descoberta foi em 2016. Este é o sensacional Dirty COW, que recebeu o número CVE-2016-5195. A chave aqui é que, se o cliente detectar sinais de comprometimento do UEM, ele apagará todas as informações corporativas do dispositivo, portanto, a probabilidade de roubo de dados bem-sucedido usando esse tipo de malware no mundo corporativo é baixa.

Arquivos maliciosos podem danificar tanto o dispositivo móvel quanto os sistemas corporativos aos quais ele tem acesso. Vejamos esses cenários com mais detalhes.

Danos a um dispositivo móvel podem ser causados, por exemplo, se você baixar uma imagem nele, que, ao ser aberta ou ao tentar instalar um papel de parede, transformará o dispositivo em um “tijolo” ou o reiniciará. Isso provavelmente prejudicará o dispositivo ou o usuário, mas não afetará a privacidade dos dados. Embora existam exceções.

A vulnerabilidade foi discutida recentemente CVE-2020-8899. Foi alegado que poderia ser usado para obter acesso ao console de dispositivos móveis Samsung usando uma imagem infectada enviada por e-mail, mensagem instantânea ou MMS. Embora o acesso ao console signifique poder acessar apenas dados em diretórios públicos onde informações confidenciais não deveriam estar, a privacidade dos dados pessoais dos usuários está sendo comprometida e isso tem assustado os usuários. Embora, na verdade, só seja possível atacar dispositivos usando MMS. E para um ataque bem-sucedido você precisa enviar de 75 a 450 (!) mensagens. O antivírus, infelizmente, não vai ajudar aqui, pois não tem acesso ao log de mensagens. Para se proteger contra isso, existem apenas duas opções. Atualize o sistema operacional ou bloqueie MMS. Você pode esperar muito pela primeira opção e não esperar, porque... Os fabricantes de dispositivos não lançam atualizações para todos os dispositivos. Desativar a recepção de MMS neste caso é muito mais fácil.

Arquivos transferidos de dispositivos móveis podem causar danos aos sistemas corporativos. Por exemplo, há um arquivo infectado em um dispositivo móvel que não pode danificar o dispositivo, mas pode infectar um computador Windows. O usuário envia esse arquivo por e-mail para seu colega. Ele abre no PC e, assim, pode infectá-lo. Mas pelo menos dois antivírus atrapalham esse vetor de ataque – um no servidor de e-mail e outro no PC do destinatário. Adicionar um terceiro antivírus a esta cadeia em um dispositivo móvel parece totalmente paranóico.

Como você pode ver, a maior ameaça no mundo digital corporativo é o malware sem privilégios de root. De onde eles podem vir em um dispositivo móvel?

Na maioria das vezes eles são instalados por meio de sideload, adb ou lojas de terceiros, o que deveria ser proibido em dispositivos móveis com acesso à rede corporativa. Existem duas opções para a chegada do malware: do Google Play ou da UEM.

Antes de publicar no Google Play, todos os aplicativos passam por verificação obrigatória. Mas para aplicações com um pequeno número de instalações, as verificações são geralmente realizadas sem intervenção humana, apenas em modo automático. Portanto, às vezes o malware entra no Google Play, mas ainda não com frequência. Um antivírus cujos bancos de dados sejam atualizados em tempo hábil será capaz de detectar aplicativos com malware no dispositivo antes do Google Play Protect, que ainda fica para trás na velocidade de atualização dos bancos de dados de antivírus.

A UEM pode instalar qualquer aplicativo em um dispositivo móvel, incl. malware, portanto, qualquer aplicativo deve ser verificado primeiro. Os aplicativos podem ser verificados durante seu desenvolvimento, usando ferramentas de análise estática e dinâmica, e imediatamente antes de sua distribuição, usando sandboxes especializados e/ou soluções antivírus. É importante que o aplicativo seja verificado uma vez antes de ser carregado na UEM. Portanto, neste caso, não é necessário um antivírus em um dispositivo móvel.

Proteção de rede

Dependendo do fabricante do antivírus, a proteção da sua rede pode oferecer um ou mais dos seguintes recursos.

A filtragem de URL é usada para:

  • Bloqueio de tráfego por categorias de recursos. Por exemplo, proibir assistir notícias ou outros conteúdos não corporativos antes do almoço, quando o funcionário é mais eficaz. Na prática, o bloqueio geralmente funciona com muitas restrições - os fabricantes de antivírus nem sempre conseguem atualizar os diretórios das categorias de recursos em tempo hábil, levando em consideração a presença de muitos “espelhos”. Além disso, existem anonimizadores e Opera VPN, que geralmente não são bloqueados.
  • Proteção contra phishing ou falsificação de hosts alvo. Para fazer isso, os URLs acessados ​​pelo dispositivo são primeiro verificados no banco de dados antivírus. Os links, bem como os recursos aos quais eles levam (incluindo possíveis redirecionamentos múltiplos), são verificados em um banco de dados de sites de phishing conhecidos. O nome de domínio, certificado e endereço IP também são verificados entre o dispositivo móvel e o servidor confiável. Se o cliente e o servidor receberem dados diferentes, isso é MITM (“man in the middle”) ou está bloqueando o tráfego usando o mesmo antivírus ou vários tipos de proxies e filtros da web na rede à qual o dispositivo móvel está conectado. É difícil dizer com segurança que há alguém no meio.

Para obter acesso ao tráfego móvel, o antivírus constrói uma VPN ou usa os recursos da API de acessibilidade (API para aplicativos destinados a pessoas com deficiência). A operação simultânea de várias VPNs em um dispositivo móvel é impossível, portanto, a proteção de rede contra antivírus que constroem sua própria VPN não é aplicável no mundo corporativo. Uma VPN de um antivírus simplesmente não funciona em conjunto com uma VPN corporativa, que é usada para acessar a rede corporativa.

Conceder acesso antivírus à API de acessibilidade representa outro perigo. O acesso à API de acessibilidade significa essencialmente permissão para fazer qualquer coisa pelo usuário - ver o que o usuário vê, executar ações com aplicativos em vez do usuário, etc. Considerando que o usuário deve conceder explicitamente tal acesso ao antivírus, ele provavelmente se recusará a fazê-lo. Ou, se for forçado, comprará outro telefone sem antivírus.

Firewall

Sob este nome geral existem três funções:

  • Coleta de estatísticas de uso da rede, divididas por aplicação e tipo de rede (Wi-Fi, operadora de celular). A maioria dos fabricantes de dispositivos Android fornece essas informações no aplicativo Configurações. Duplicá-lo na interface do antivírus móvel parece redundante. Informações agregadas sobre todos os dispositivos podem ser interessantes. É coletado e analisado com sucesso pelos sistemas da UEM.
  • Limitar o tráfego móvel – definir um limite, avisando quando ele for atingido. Para a maioria dos usuários de dispositivos Android, esses recursos estão disponíveis no aplicativo Configurações. A configuração centralizada de restrições é tarefa da UEM, não do antivírus.
  • Na verdade, firewall. Ou, em outras palavras, bloquear o acesso a determinados endereços IP e portas. Levando em consideração o DDNS em todos os recursos populares e a necessidade de habilitar VPN para esses fins, que, conforme escrito acima, não pode funcionar em conjunto com a VPN principal, a função parece inaplicável na prática corporativa.

Verificação de procuração Wi-Fi

Os antivírus móveis podem avaliar a segurança das redes Wi-Fi às quais o dispositivo móvel se conecta. Pode-se presumir que a presença e a força da criptografia são verificadas. Ao mesmo tempo, todos os programas modernos utilizam criptografia para transmitir dados confidenciais. Portanto, se algum programa for vulnerável no nível do link, também será perigoso usá-lo por meio de qualquer canal da Internet, e não apenas por meio de Wi-Fi público.
Portanto, o Wi-Fi público, inclusive sem criptografia, não é mais perigoso nem menos seguro do que qualquer outro canal de transmissão de dados não confiável sem criptografia.

Proteção contra SPAM

A proteção, via de regra, se resume a filtrar as chamadas recebidas de acordo com uma lista especificada pelo usuário, ou de acordo com um banco de dados de spammers conhecidos que incomodam incessantemente com seguros, empréstimos e convites para teatro. Embora não liguem durante o auto-isolamento, em breve começarão novamente. Apenas as chamadas estão sujeitas a filtragem. As mensagens nos dispositivos Android atuais não são filtradas. Considerando que os spammers alteram regularmente os seus números e a impossibilidade de proteger canais de texto (SMS, mensageiros instantâneos), a funcionalidade é mais de marketing do que de natureza prática.

Proteção anti-roubo

Executar ações remotas com um dispositivo móvel em caso de perda ou roubo. Uma alternativa aos serviços Find My iPhone e Find My Device da Apple e Google, respectivamente. Ao contrário de seus análogos, os serviços dos fabricantes de antivírus não podem fornecer o bloqueio de um dispositivo se um invasor conseguir redefini-lo para as configurações de fábrica. Mas se isso ainda não aconteceu, você pode fazer o seguinte com o dispositivo remotamente:

  • Bloquear. Proteção contra um ladrão simplório, porque isso pode ser feito facilmente redefinindo o dispositivo para as configurações de fábrica por meio de recuperação.
  • Descubra as coordenadas do dispositivo. Útil quando o dispositivo foi perdido recentemente.
  • Ative um bipe alto para ajudá-lo a encontrar seu dispositivo se ele estiver no modo silencioso.
  • Redefina o dispositivo para as configurações de fábrica. Faz sentido quando o usuário reconhece o dispositivo como irremediavelmente perdido, mas não deseja que os dados nele armazenados sejam divulgados.
  • Para fazer uma foto. Tire uma foto do invasor se ele estiver segurando o telefone nas mãos. A funcionalidade mais questionável é que a probabilidade de um invasor admirar o telefone com boa iluminação é baixa. Mas a presença no aparelho de um aplicativo que pode controlar silenciosamente a câmera do smartphone, tirar fotos e enviá-las ao seu servidor causa razoável preocupação.

A execução remota de comandos é básica em qualquer sistema UEM. A única coisa que falta neles é a fotografia remota. Essa é uma maneira infalível de fazer com que os usuários retirem as baterias de seus telefones e as coloquem em uma bolsa Faraday após o término do dia de trabalho.

As funções antifurto em antivírus móveis estão disponíveis apenas para Android. Para iOS, apenas o UEM pode realizar tais ações. Só pode haver um UEM em um dispositivo iOS - esse é um recurso arquitetônico do iOS.

Descobertas

  1. Uma situação em que um usuário pode instalar malware em um telefone NÃO É ACEITÁVEL.
  2. O UEM configurado corretamente em um dispositivo corporativo elimina a necessidade de antivírus.
  3. Se vulnerabilidades de dia 0 no sistema operacional forem exploradas, o antivírus será inútil. Só pode indicar ao administrador que o dispositivo está vulnerável.
  4. O antivírus não consegue determinar se a vulnerabilidade está sendo explorada. Além de lançar uma atualização para um dispositivo para o qual a fabricante não lança mais atualizações de segurança. No máximo é um ou dois anos.
  5. Se ignorarmos os requisitos dos reguladores e do marketing, os antivírus móveis corporativos serão necessários apenas em dispositivos Android, onde os usuários têm acesso ao Google Play e instalação de programas de fontes de terceiros. Em outros casos, a eficácia do uso de antivírus não passa de um placebo.

Antivírus móveis não funcionam

Fonte: habr.com

Adicionar um comentário