ProHoster > Блог > адміністрування > Мобільні антивіруси не працюють

Мобільні антивіруси не працюють

Мобільні антивіруси не працюють
TL, д-р якщо на ваших корпоративних мобільних пристроях потрібен антивірус, то ви робите все неправильно і антивірус вам не допоможе.

Цей пост – результат спекотних суперечок на тему того, чи потрібен на корпоративному мобільному телефоні антивірус, у яких випадках він працює, а в яких непотрібний. У статті розбираються моделі загроз, від яких теоретично має захищати антивірус.

Продавцям антивірусів часто вдається переконати корпоративних клієнтів, що антивірус сильно підвищить їхню безпеку, але в більшості випадків це ілюзорний захист, через який тільки знижується пильність як користувачів, так і адміністраторів.

Правильна корпоративна інфраструктура

Коли в компанії десятки або навіть тисячі співробітників, налаштовувати кожен пристрій користувача вручну неможливо. Налаштування щодня можуть змінюватися, приходять нові співробітники, у них ламаються або губляться мобільні телефони та ноутбуки. У результаті вся робота адмінів полягала в щоденному розгортанні нових налаштувань на пристроях співробітників.

На десктопних комп'ютерах це завдання почали вирішувати давно. У світі Windows зазвичай таке управління відбувається за допомогою Active Directory, централізованих систем аутентифікації (Single Sign In) і т.д. Але тепер у всіх співробітників до комп'ютерів додалися смартфони, де відбувається значна частина робочих процесів і зберігаються важливі дані. Microsoft намагалися об'єднати свої телефони на Windows Phone у єдину екосистему з Windows, але ця ідея померла разом із офіційною смертю Windows Phone. Тому в корпоративному середовищі у будь-якому випадку доводиться вибирати між Android та iOS.

Зараз у корпоративному середовищі, для керування пристроями співробітників, у моді є концепція UEM (Unified endpoint management). Це централізована система управління мобільними пристроями та десктопними комп'ютерами.
Мобільні антивіруси не працюють
Централізоване керування пристроями користувача (Unified endpoint management)

Адміністратор системи UEM може встановлювати різні політики для пристроїв користувача. Наприклад, дозволити користувачеві більший чи менший контроль над пристроєм, встановлення програм із сторонніх джерел тощо.

Що може робити UEM:

Керувати всіма налаштуваннями — адміністратор може повністю заборонити користувачеві змінювати налаштування на пристрої та змінювати їх віддалено.

Контролювати програмне забезпечення на пристрої — дозволяти встановлення програм на пристрої та автоматично встановлювати програми без відома користувача. Також адміністратор може заборонити або дозволити інсталяцію програм з магазину програм або з недовірених джерел (з файлів APK у випадку Android).

Віддалене блокування — якщо телефон втрачено, адміністратор може заблокувати пристрій або очистити дані. Деякі системи також дозволяють встановити автоматичне видалення даних, якщо телефон не виходив на зв'язок із сервером більше N годин, щоб унеможливити спроби оффлайн злому, коли атакуючі встигли витягнути SIM-карту до того, як з сервера була надіслана команда очищення даних.

Збирати статистику — відстежувати активність користувача, час використання програм, розташування, рівень заряду батареї тощо.

Які бувають UEM

Є два принципово різних підходи для централізованого керування смартфонами співробітників: в одному випадку компанія закуповує для співробітників одного виробника і зазвичай вибирає систему управління від того ж постачальника. В іншому випадку співробітники використовують свої особисті пристрої для роботи, і тут починається зоопарк із операційних систем, версій та платформ.

BYOD (Bring your own device, Принеси свій пристрій) - Концепція, в якій співробітники використовують для роботи свої особисті пристрої та облікові записи. Деякі системи централізованого керування дозволяють додати другий робочий обліковий запис та повністю розділити дані на особисті та робітники.

Мобільні антивіруси не працюють

Бізнес-менеджер Apple - Рідна система централізованого управління від Apple. Вміє керувати лише пристроями Apple, комп'ютерами з macOS та телефонами на iOS. Підтримує BYOD, створюється друге ізольоване оточення з іншим обліковим записом iCloud.

Мобільні антивіруси не працюють

Google Cloud Endpoint Management — дозволяє керувати телефонами на Android та Apple iOS, а також десктопами Windows 10. Заявляється підтримка BYOD.

Мобільні антивіруси не працюють
Samsung Knox UEM — підтримує лише мобільні пристрої Samsung. При цьому відразу можна скористатися тільки Samsung Mobile Management.

Насправді постачальників UEM існує значно більше, але ми не будемо розбирати їх усіх у рамках цієї статті. Головне, що потрібно мати на увазі, що такі системи вже існують і дозволяють адміністратору налаштувати пристрої користувача адекватно існуючої моделі загроз.

Модель погроз

Перш ніж вибирати інструменти захисту, потрібно зрозуміти, від чого ми захищаємося, що найстрашніше може статися в нашому конкретному випадку. Умовно кажучи: наш тулуб легко вразливий для кулі і навіть для вилки зі цвяхом, але ми ж не одягаємо бронежилет при виході з дому. Тому в нашу модель загроз не входить небезпека бути застреленим по дорозі на роботу, хоча статистично це не так вже й неймовірно. При цьому за певних умов носіння бронежилета цілком виправдане.

У різних компаніях моделі загроз різняться. Візьмемо, скажімо, смартфон кур'єра, який їде доставляти посилку клієнту. У його смартфоні є лише адреса поточної доставки та маршрут на карті. Найстрашніше, що може статися з його даними, це витік адрес доставки посилок.

А ось смартфон бухгалтера. Він має доступ до корпоративної мережі через VPN, встановлено додаток корпоративного клієнт-банку, зберігаються документи з цінною інформацією. Очевидно, що цінність даних цих двох пристроях значно різниться і захищати їх слід по-різному.

Антивірус нас урятує?

На жаль, за маркетинговими слоганами втрачається реальний зміст завдань, які виконує антивірус на мобільному пристрої. Спробуємо детально розібратися, що робить антивірус на телефоні.

Аудит безпеки

Більшість сучасних мобільних антивірусів виконують аудит налаштувань безпеки на пристрої. Іноді такий аудит називають "перевіркою репутації пристрою". Антивіруси вважають пристрій безпечним, якщо виконуються чотири умови:

  • Пристрій не зламано (root, jailbreak).
  • У Вашому пристрої налаштовано пароль.
  • На пристрої не дозволено налагодження USB.
  • На пристрої не дозволено встановлення програм із недовірених джерел (sideloading).

Якщо в результаті перевірки пристрій визнано небезпечним, антивірус повідомить про це власника і запропонує вимкнути «небезпечний» функціонал або повернути заводську прошивку у разі ознак root або jailbreak.

За корпоративними звичаями недостатньо лише повідомити користувача. Необхідно виключити небезпечні конфігурації. Для цього за допомогою UEM-системи потрібно налаштувати на мобільних пристроях безпекову політику. А у разі виявлення root/jailbreak треба стрімко видаляти з пристрою корпоративні дані та блокувати його доступ до корпоративної мережі. І це також можливо за допомогою UEM. І лише після цих процедур можна вважати мобільний пристрій безпечним.

Пошук і видалення вірусів

Всупереч поширеній думці, що для iOS не існує вірусів, це неправда. У дикій природі досі поширені експлойти для старих версій iOS, які заражають пристрої через експлуатацію вразливостей у браузері. При цьому через архітектуру iOS розробка антивірусів для цієї платформи неможлива. Основна причина — програми не можуть отримати доступ до списку встановлених програм і мають багато обмежень доступу до файлів. Список встановлених iOS-програм може отримати тільки UEM, але навіть UEM не може отримати доступ до файлів.

З Android ситуація інша. Програми можуть отримати інформацію про встановлені на пристрої програми. Вони можуть навіть отримати доступ до їх дистрибутивів (наприклад, Apk Extractor та його аналоги). Android-програми також мають можливість доступу до файлів (наприклад, Total Commander та ін.). Android-програми можна декомпілювати.

З такими можливостями логічним виглядає такий антивірусний алгоритм:

  • Перевірка програм
  • Отримати список встановлених програм та контрольні суми (КС) їх дистрибутивів.
  • Перевірити програми та їх КС спочатку у локальній, а потім у глобальній базі.
  • Якщо програма невідома, передати його дистрибутив у глобальну базу для аналізу та декомпіляції.

  • Перевірка файлів, пошук вірусних сигнатур
  • Перевірити КС файлів у локальній, потім у глобальній базі.
  • Перевірити наявність у файлах небезпечного вмісту (скриптів, експлоїтів тощо) локальною, а потім глобальною базою.
  • Якщо виявлено malware, повідомити користувача та/або заблокувати доступ користувача до malware та/або передати інформацію в UEM. Передавати інформацію в UEM необхідно, тому що антивірус не може самостійно видалити malware з пристрою.

Найбільше побоювань викликає можливість передачі дистрибутивів програм із пристрою зовнішній сервер. Без цього не можна реалізувати заявлений виробниками антивірусів «поведінковий аналіз», т.к. на пристрої не можна запустити програму в окремій «пісочниці» або зробити його декомпіляцію (наскільки вона ефективна при використанні обфускації – це окреме складне питання). З іншого боку, на мобільних пристроях співробітників можуть бути встановлені корпоративні програми, які невідомі антивірусу, тому що їх немає у Google Play. У цих мобільних додатках можуть бути чутливі дані, через які ці додатки не розміщують у публічному магазині. Передача таких дистрибутивів виробнику антивірусу є некоректною з погляду безпеки. Має сенс додавати їх у винятки, але про наявність такого механізму поки що мені невідомо.

Malware без привілеїв root може

1. Намалювати поверх додатка своє невидиме вікно або впровадити свою клавіатуру, щоб копіювати дані, що вводяться користувачем - параметри облікових записів, банківських карт і т.д. Недавній приклад – вразливість CVE-2020-0096, за допомогою якої можна підмінити активний екран програми і тим самим отримати доступ до даних, що вводяться користувачем. Для користувача це означає можливість крадіжки облікового запису Google з доступом до резервної копії пристрою та даних банківських карток. Для організації своєю чергою важливо не втратити свої дані. Якщо дані знаходяться в приватній пам'яті програми і не містяться в резервній копії Google, malware не зможе отримати доступ до них.

2. Отримати доступ до даних у публічних каталогах - Завантаження, документи, галерея. У цих каталогах не рекомендується зберігати інформацію, що має цінність для компанії, тому що до них може отримати доступ будь-яка програма. Та й сам користувач завжди зможе поділитися конфіденційним документом за допомогою будь-якої доступної програми.

3. Набридати користувачу рекламою, майнути біткойни, бути частиною ботнета і т.д.. Це може негативно вплинути на працездатність користувача та/або пристрою, але не стане загрозою для корпоративних даних.

Malware з привілеями root потенційно можуть все, що завгодно. Зустрічаються вони рідко, тому що зламування сучасних Android-пристроїв за допомогою програми практично неможливе. Востаннє подібна вразливість була виявлена ​​у 2016 році. Це гучний Dirty COW, якому було надано номер CVE-2016-5195. Ключове тут те, що при виявленні ознак злому UEM клієнт зітре всю корпоративну інформацію з пристрою, тому можливість успішної крадіжки даних за допомогою таких malware в корпоративному світі невисока.

Шкідливі файли можуть завдавати шкоди мобільному пристрої, так і корпоративним системам, до яких воно має доступ. Розберемо ці сценарії докладніше.

Шкода мобільного пристрою можна завдати, наприклад, якщо скачати на нього картинку, яка при відкритті або при спробі встановлення шпалер перетворить пристрій на цеглу або перезавантажить його. Швидше за все це зашкодить пристрою або користувачу, але не позначиться на конфіденційності даних. Хоча бувають і винятки.

Нещодавно обговорювалася вразливість CVE-2020-8899. Стверджувалося, що з її допомогою можна отримати доступ до консолі мобільних пристроїв Samsung за допомогою зараженої картинки, надісланої електронною поштою, месенджером або MMS. Хоча доступ до консолі означає можливість доступу лише до даних у публічних каталогах, де конфіденційної інформації не повинно бути, конфіденційність особистих даних користувачів опиняється під загрозою, і це налякало користувачів. Хоча за фактом, атакувати пристрої можна лише за допомогою MMS. А для успішної атаки потрібно відправити від 75 до 450 повідомлень. Антивірус тут, на жаль, не допоможе, тому що не має доступу до журналу повідомлень. Щоб захиститися від цього, є лише два варіанти. Оновити операційну систему або заблокувати MMS. Перший варіант можна довго чекати і дочекатися, т.к. Виробники пристроїв випускають оновлення не для всіх пристроїв. Вимкнути прийом MMS у разі набагато простіше.

Шкідливість корпоративним системам можуть завдати файли, які передаються з мобільних пристроїв. Наприклад, на мобільному пристрої є заражений файл, який не може завдати шкоди пристрою, але може заразити комп'ютер Windows. Користувач надсилає такий файл електронною поштою своєму колегі. Той відкриває його на ПК і тим самим може його заразити. Але на шляху цього вектора атаки стоять принаймні два антивіруси - один на сервері електронної пошти, інший на ПК одержувача. Додавання в цей ланцюжок третього антивірусу на мобільному пристрої здається зовсім параної.

Як видно, найбільшу загрозу в корпоративному цифровому світі мають malware без привілеїв root. Звідки вони можуть взятися на мобільному пристрої?

Найчастіше їх встановлюють за допомогою sideloading, adb або сторонніх магазинів, які мають бути заборонені на мобільних пристроях з доступом до корпоративної мережі. Залишається два варіанти влучення malware – з Google Play або з UEM.

Перед публікацією в Google Play усі програми проходять обов'язкову перевірку. Але для додатків з невеликою кількістю налаштувань перевірки найчастіше виконуються без участі людей, лише в автоматичному режимі. Тому іноді в Google Play потрапляє malware, але не часто. Антивірус, чиї бази своєчасно оновлюються, зможе виявити програми з malware на пристрої раніше за Google Play Protect, який поки що відстає за швидкістю оновлення антивірусних баз.

UEM може поставити на мобільний пристрій будь-яку програму, в т.ч. malware, тому будь-яку програму потрібно попередньо перевіряти. Програми можна перевіряти як у процесі їх розробки за допомогою засобів статичного та динамічного аналізу, так і безпосередньо перед їх розповсюдженням за допомогою спеціалізованих «пісочниць» та/або антивірусних рішень. Важливо, що програма перевіряється одноразово перед завантаженням в UEM. Отже, і в цьому випадку антивірус на мобільному пристрої не потрібний.

Мережевий захист

У складі мережного захисту, залежно від виробника антивірусу, може пропонуватися одна або кілька з наступних функцій.

URL-фільтрація застосовується з метою:

  • Блокування трафіку за категоріями ресурсів. Наприклад, щоб заборонити дивитися новини або інший некорпоративний контент до обіду, коли співробітник найефективніший. Насправді блокування найчастіше працює з безліччю обмежень – виробникам антивірусів який завжди вдається своєчасно актуалізувати довідники категорій ресурсів з урахуванням наявності безлічі «дзеркал». Плюс є анонімайзери та Opera VPN, на які блокування найчастіше не поширюється.
  • Захисту від фішингу або заміни цільових хостів. Для цього URL, до яких звертається пристрій, попередньо перевіряються антивірусною базою. Посилання, а також ресурси, до яких вони ведуть (включаючи можливі численні редиректи), перевіряються на базі відомих фішингових сайтів. Також здійснюється звірка доменного імені, сертифіката та IP-адреси між мобільним пристроєм та довіреним сервером. Якщо клієнт і сервер отримують різні дані, то це або MITM ("людина посередині", man in the middle), або блокування трафіку за допомогою того ж таки антивіруса або різного роду proxy та веб-фільтрів у мережі, до якої підключено мобільний пристрій. Впевнено сказати, що посередині хтось є складно.

Щоб отримати доступ до мобільного трафіку, антивірус або будує VPN або використовує можливості Accessibility API (API для програм, призначених для людей з обмеженими можливостями). Одночасна робота кількох VPN на мобільному пристрої неможлива, тому мережевий захист від антивірусів, які будують власний VPN, у корпоративному світі не застосовується. VPN від антивірусу просто не працюватиме разом з корпоративним VPN, який використовують для доступу до корпоративної мережі.

Надання антивірусу доступу до Accessibility API таїть іншу небезпеку. Доступ до Accessibility API фактично означає дозвіл робити за користувача будь-що - бачити те, що бачить користувач, виконувати дії з програмами замість користувача і т.д. З урахуванням того, що користувач повинен явно надати антивірусу такий доступ, він, швидше за все, відмовиться це робити. Або, якщо його змусять, придбає собі ще один телефон без антивірусу.

Міжмережеве екранування

Під цією загальною назвою ховаються три функції:

  • Збір статистики з використання мережі з поділом за програмами та типом мережі (Wi-Fi, стільниковий оператор). Більшість виробників Android-пристроїв надають ці дані у програмі «Налаштування». Дублювання їх у інтерфейсі мобільного антивіруса здається надлишковим. Інтерес може представляти сукупна інформація з усіх пристроїв. Її успішно збирають та аналізують UEM системи.
  • Обмеження мобільного трафіку – налаштування ліміту, оповіщення під час його досягнення. Користувачам більшості пристроїв Android ці функції доступні в програмі «Налаштування». Централізоване налаштування обмежень – завдання UEM, а не антивіруса.
  • Власне, міжмережеве екранування (firewall). Або, інакше, блокування доступу до певних IP-адрес та портів. З урахуванням DDNS на всіх популярних ресурсах і необхідності включення для цього VPN, який, як написано вище, не може працювати спільно з основним VPN, функція здається непридатною в корпоративній практиці.

Перевірка довіреності Wi-Fi

Мобільні антивіруси можуть оцінювати безпеку Wi-Fi мереж, до яких підключається мобільний пристрій. Можна припустити, що перевіряються наявність та стійкість шифрування. При цьому всі сучасні програми використовують шифрування для передачі чутливих даних. Тому якщо якась програма вразлива на канальному рівні, то її також небезпечно використовувати через будь-які інтернет-канали, а не тільки через публічний Wi-Fi.
Тому публічний Wi-Fi, у тому числі без шифрування, не більш небезпечний і не менш безпечний, ніж будь-які інші недовірені канали передачі даних без шифрування.

Захист від спаму

Захист, як правило, зводиться до фільтрації вхідних дзвінків за списком, вказаним користувачем, або за базою відомих спамерів, які нескінченно набридають страховками, кредитами та запрошеннями до театру. Хоч у самоізоляції вони й не дзвонять, але незабаром знову почнуть. Фільтрації підлягають лише дзвінки. Повідомлення на актуальні Android не фільтруються. З урахуванням регулярної зміни спамерами своїх номерів, неможливості захисту текстових каналів (SMS, месенджери), функціональність носить швидше маркетинговий, а не практичний характер.

Антикражний захист

Виконує віддалені дії з мобільним пристроєм при втраті або крадіжці. Альтернатива сервісам Find My iPhone та Find My Device від Apple та Google відповідно. На відміну від аналогів сервіси виробників антивірусів не можуть надати блокування пристрою, якщо зловмисник встиг скинути його до заводських налаштувань. Але якщо цього ще не сталося, з пристроєм можна дистанційно зробити таке:

  • Заблокувати. Захист від недалекого злодія, тому що легко обходиться скиданням пристрою до заводських налаштувань через recovery.
  • Дізнатися координати пристрою. Корисно, коли пристрій було втрачено нещодавно.
  • Увімкнути гучний звуковий сигнал, щоб знайти пристрій, якщо на ньому увімкнено беззвучний режим.
  • Скинути пристрій до заводських установок. Має сенс, коли користувач визнав пристрій безповоротно втраченим, але не хоче, щоб дані, що зберігаються на ньому, були розголошені.
  • Зробити фото. Сфотографувати зловмисника, якщо він тримає телефон у руках. Найбільш сумнівна функціональність - ймовірність того, що зловмисник милується в телефон при хорошому освітленні, невисока. А ось наявність на пристрої програми, яка може непомітно керувати камерою смартфона, робити фотографії та відправляти їх на сервер, викликає обгрунтовану тривогу.

Віддалене виконання команд є базовим у будь-якій системі UEM. У них немає хіба що віддаленого фотографування. Це правильний шлях до того, щоб користувачі після кінця робочого дня виймали акумулятори з телефонів і клали їх у мішок Фарадея.

Функції антизлодія в мобільних антивірусах доступні тільки для Android. Для iOS такі дії може виконувати лише UEM. UEM на iOS-пристрої може бути лише один – це архітектурна особливість iOS.

Висновки

  1. Ситуація, в якій користувач може встановити шкідливу програму на телефон, НЕДОПУСТИМА.
  2. Правильно налаштований UEM на корпоративному пристрої унеможливлює антивірус.
  3. У разі використання 0-day уразливостей в операційній системі антивірус не є корисним. Він може лише вказати адміністратору, що пристрій уразливий.
  4. Визначити, чи використовується вразливість, антивірус не може. Так само, як і випустити оновлення для пристрою, для якого виробник уже не випускає оновлень безпеки. Від сили це рік-два.
  5. Якщо абстрагуватися від вимог регуляторів та маркетингу, то корпоративні мобільні антивіруси потрібні лише на Android пристроях, де користувачам доступний Google Play та встановлення програм із сторонніх джерел. За інших випадках ефективність використання антивірусів лише плацебо.

Мобільні антивіруси не працюють

Джерело: habr.com

Додати коментар або відгук