Нужен ли антивирус на андроид
За последнее время мобильная ОС Android получила очень эффективные улучшения безопасности, включая встроенный антивирус Google Play Защита. Поэтому резонно встает вопрос: нужно ли устанавливать сторонний антивирус?
“Антивирус” оставался очень модным словом в течение последнего десятилетия. Если 15-20 лет назад наличие дополнительного средства защиты было необходимостью, то времена изменились, и современные операционные системы стали в значительной степени самодостаточными с точки зрения безопасности.
Что насчет Android? Это относительно молодая платформа, которая постоянно привлекает повышенное внимание киберпреступников. В последние годы были представлены очень эффективные улучшения безопасности системы. Поэтому резонно встает вопрос: нужно ли устанавливать антивирус для Android? Попробуем разобраться.
Какие бывают UEM
Есть два принципиально разных подхода для централизованного управления смартфонами сотрудников: в одном случае компания закупает для сотрудников устройства одного производителя и обычно выбирает систему управления от того же поставщика. В другом случае сотрудники используют свои личные устройства для работы, и тут начинается зоопарк из операционных систем, версий и платформ.
BYOD (Bring your own device, Принеси свое устройство) —концепция, в которой сотрудники используют для работы свои личные устройства и учетные записи. Некоторые системы централизованного управления позволяют добавить вторую рабочую учетную запись и полностью разделить данные на личные и рабочие.
Apple Business Manager — родная система централизованного управления от Apple. Умеет управлять только устройствами Apple, компьютерами с macOS и телефонами на iOS. Поддерживает BYOD, создается второе изолированное окружение с другой учетной записью iCloud.
Google Cloud Endpoint Management — позволяет управлять телефонами на Android и Apple iOS, а также десктопами на Windows 10. Заявляется поддержка BYOD.
Samsung Knox UEM — поддерживает только мобильные устройства Samsung. При этом сходу можно воспользоваться только Samsung Mobile Management.
На самом деле поставщиков UEM существует сильно больше, но мы не будем разбирать их всех в рамках этой статьи. Главное, что нужно иметь в виду, что такие системы уже существуют и позволяют администратору сконфигурировать пользовательские устройства адекватно существующей модели угроз.
Магазин Google Play не полностью безопасен
За много лет Android превратился в довольно надежную ОС. Наряду с постоянным потоком дополнительных улучшений, в 2017 году компания Google представила систему безопасности Play Защита, которая использует технологии машинного обучения для сканирования магазина приложений Google Play на предмет вредоносных приложений.
Google Play Защита также умеет анализировать приложения локально на вашем устройстве. Вы можете запустить проверку вручную – для этого перейдите в приложение Play Маркет > Мои приложения и игры > Обновления и нажмите иконку обновления в верхней части экрана.
Play Защита – это отличная функция, но она не гарантирует абсолютную безопасность. Иногда бывает, что некоторые вредоносные приложения остаются в магазине на протяжении полугода. Так, например, в прошлом году на площадке были обнаружены будильники и сканеры QR кодов, которые содержали троян AsiaHitGroup – на тот момент их успели загрузить несколько десятков тысяч пользователей.
Этот троян выполнял полезную нагрузку с целью получить полный доступ к устройству и контроль над персональными данными пользователя.
Ранее в прошлом году исследователи из Trend Micro обнаружили в Google Play 36 фальшивых антивирусов, которые устанавливали вредоносное ПО на устройствах, вызывали ложные предупреждения и показывали рекламу. Эти приложения также склонны запрашивать неоправданно большое число разрешений доступа с целью кражи персональных данных.
Также стоит принимать во внимание скорость и фрагментацию процесса обновления Android. В то время как устройства на чистом Android получают обновления безопасности сразу после выхода, известно, что производители некоторых устройств с модифицированными версиями системы задерживают выход патчей на несколько дней или даже недель.
Как используется устройство?
Android – это обширная экосистема, которая заработала свою репутацию за относительную открытость по сравнению с iOS. Вы можете загружать приложения и APK файлы из любых источников, вы можете настроить root-доступ на устройстве и установить другую систему на базе Android. Чем более активно вы модифицируете систему, тем больше вероятность нанести ущерб вашему устройству. Вероятно, вы знаете потенциальные риски и предпринимаете необходимые меры предосторожности.
Например, нужно быть внимательным и осторожным при загрузке APK-файлов из сторонних источников, а не из магазина приложений Google Play (для этого нужно разрешить установку приложений из неизвестных источников).
Когда вы загружаете APK со сторонних сайтов, встроенный в Android антивирус Google Play Защита уже не может вам помочь. Если вы не уверены в источнике приложения, то должны рассмотреть установку антивируса для Android, чтобы обеспечить дополнительную защиту.
50% приложений с максимальным результатом
Длительное 6-месячное тестирование AV-Test подтверждает высокий уровень эффективности многих приложений безопасности для Android. Решения от Avast, Bitdefender, G Data, Kaspersky Lab, PSafe, Symantec, Tencent и Trend Micro смогли набрать максимальные 13 баллов.
Если отбросить дополнительные категории удобства использования и функций и сосредоточиться только на защиту, то результаты здесь еще лучше - 12 из 16 приложений получили максимальные 6 баллов.
Google прилагает все свои усилия для повышения безопасности для всех пользователей Android. Все приложения в магазине сканируются, а все мобильные устройства автоматически проверяются с помощью Google Play Защита. Лаборатория AV-Test согласна, что пользователям мобильных устройств нужно больше безопасности, но текущие результаты Google Play Защита показывают, что для хорошего уровня защиты нужно дополнительно устанавливать антивирус. Тест показывает, что у пользователей имеется широкий выбор приложений безопасности - многие из них доступны даже бесплатно.
Модель угроз
Прежде чем выбирать инструменты защиты, нужно понять от чего мы защищаемся, что самое страшное может случиться в нашем конкретном случае. Условно говоря: наше туловище легко уязвимо для пули и даже для вилки с гвоздем, но мы же не надеваем бронежилет при выходе из дома. Потому в нашу модель угроз не входит опасность быть застреленным по пути на работу, хотя статистически это не так уж невероятно. При этом в определенных условиях ношение бронежилета вполне оправдано.
В разных компаниях модели угроз различаются. Возьмем, допустим, смартфон курьера, который едет доставлять посылку клиенту. В его смартфоне есть только адрес текущей доставки и маршрут на карте. Самое страшное, что может случится с его данными, это утечка адресов доставки посылок.
А вот смартфон бухгалтера. У него есть доступ в корпоративную сеть через VPN, установлено приложение корпоративного клиент-банка, хранятся документы с ценной информацией. Очевидно, что ценность данных на этих двух устройствах значительно различается и защищать их следует по-разному.
Найти устройство
Сирену можно использовать для поиска телефона, который затерялся где-то дома - больше не нужно просить членов семьи звонить вам. Вы также можете увидеть другие устройства Android, связанные с вашей учетной записью.
Обновленная функция также показывает заряд батареи, последнее известное местоположение, а также подключенную сеть Wi-Fi. Это очень необходимое обновление по сравнению с Диспетчером устройства Android, который был впервые запущен в 2013 году. У пользователей Android наконец-то появился обновленный инструмент.
Что нужно предпринять?
Самый простой совет – не загружайте приложения, если вы не уверены в их надежности и безопасности. Вредоносное ПО – это самая серьезная угроза для безопасности Android, поэтому вам следует всегда проверять легитимность приложения до его загрузки.
Попытайтесь провести небольшое исследование:
- Получило ли приложение метку “Выбор редакции”?
- Создано ли приложение авторитетным разработчиком?
- Имеет ли приложение хорошие оценки?
- Какие отзывы оставляют пользователи о приложении в Google Play и на форумах в Интернете?
Внедрив данный подход, вы больше не будете чувствовать необходимость установить сторонний антивирус для Android. Однако, если вы все же опасаетесь, что можете загрузить что-то вредоносное из сомнительного источника, то антивирусное приложение Android поможет обеспечить безопасность в этом случае.
На фоне роста вредоносных приложений и угроз пользователи пытаются искать новые способы защиты. Скорее всего, вы уже пользуетесь мобильным антивирусом для Android, но Google подготовила для вас еще один уровень защиты - Google Play Защита
Компания Google разработала новое приложение Google Play Защита, которое будет регулярно выполнять мониторинг устройства и обеспечит защиту от вредоносных приложений и других угроз.
Правильная корпоративная инфраструктура
Когда в компании десятки или даже тысячи сотрудников, настраивать каждое пользовательское устройство вручную невозможно. Настройки каждый день могут изменяться, приходят новые сотрудники, у них ломаются или теряются мобильные телефоны и ноутбуки. В итоге вся работа админов состояла бы в ежедневном разворачивании новых настроек на устройствах сотрудников.
На десктопных компьютерах эту задачу начали решать давно. В мире Windows, обычно, такое управление происходит с помощью Active Directory, централизованных систем аутентификации (Single Sign In) и т.д. Но теперь у всех сотрудников к компьютерам добавились смартфоны, на которых происходит значительная часть рабочих процессов и хранятся важные данные. Microsoft пытались объединить свои телефоны на Windows Phone в единую экосистему с Windows, но эта идея умерла вместе с официальной смертью Windows Phone. Поэтому в корпоративной среде в любом случае приходится выбирать между Android и iOS.
Сейчас в корпоративной среде, для управления устройствами сотрудников, в моде концепция UEM (Unified endpoint management). Это централизованная система управления мобильными устройствами и десктопными компьютерами.
Централизованное управление пользовательскими устройствами (Unified endpoint management)
Администратор системы UEM может устанавливать разные политики для пользовательских устройств. Например, разрешить пользователю больший или меньший контроль над устройством, установки приложений из сторонних источников и т.д.
Что может делать UEM:
Управлять всеми настройками — администратор может полностью запретить пользователю изменять настройки на устройстве и изменять их удаленно.
Контролировать ПО на устройстве — разрешать возможность установки программ на устройстве и автоматически устанавливать программы без ведома пользователя. Также администратор может запретить или разрешить установку программ из магазина приложений или из недоверенных источников (из файлов APK в случае Android).
Удаленная блокировка — в случае, если телефон потерян, администратор может заблокировать устройство или очистить данные. Некоторые системы также позволяют задать автоматическое удаление данных, если телефон не выходил на связь с сервером больше N часов, чтобы исключить возможность попыток оффлайн взлома, когда атакующие успели вытащить SIM-карту до того, как с сервера была послана команда очистки данных.
Собирать статистику — отслеживать активность пользователя, время использования приложений, местоположение, уровень заряда батареи и т.д.
Заключение
Google Play Защита - инструмент, в котором действительно нуждались пользователи Android. Возможности нового компонента позволяют поддерживать безопасность вашего устройства. Что вы думаете о Play Защита? Поделитесь своим мнением в обсуждениях ниже.
Новый раунд длительного тестирования приложений безопасности для Android, проводимый лабораторией AV-Test с ноября 2017 года по март 2018 года, показывает, что 16 протестированных мобильных антивирусов обеспечивают более надежную защиту, чем Google Play Защита.
В длительном тестировании принимали участие 16 антивирусов для Android и система защиты Google Play Защита (Google Play Protect).
Avast Mobile Security: бесплатный антивирус безошибочно отработал в тесте.
Bitdefender Mobile Security: кроме надежной защиты, приложение предлагает полезные дополнительные функции.
G Data Internet Security для Android: антивирус продемонстрировал безупречную производительность и заработал максимальные 13 баллов.
Kaspersky Internet Security для Android: антивирус для Android обеспечил высокоэффективную защиту и заработал максимальные 13 баллов.
Google старается защитить пользователей от вредоносных приложений, но собственные механизмы защиты работают не так, как ожидалось. Недостатки системы безопасности от Google подтверждаются результатами длительного тестирования, которое проходило в течение 6 месяцев. За этот период времени все 16 мобильных антивирусов, а также Google Play Защита должны были обнаружить около 9500 новейших зараженных файлов и 8500 известных вредоносов, возрастом около 2 недель. Уровни обнаружения Play Protect оказались заметно более слабыми, чем у всех остальных участников тестирования.
Сетевая защита
В составе сетевой защиты в зависимости от производителя антивируса может предлагаться одна или несколько из следующих функций.
URL-фильтрация применяется с целью:
Предоставление антивирусу доступа к Accessibility API таит другую опасность. Доступ к Accessibility API фактически означает разрешение делать за пользователя что угодно — видеть то, что видит пользователь, выполнять действия с приложениями вместо пользователя и т.д. С учётом того, что пользователь должен явно предоставить антивирусу такой доступ, он скорее всего откажется это делать. Или, если его заставят, купит себе ещё один телефон без антивируса.
Межсетевое экранирование
Под этим общим названием скрываются три функции:
- Сбор статистики по использованию сети с разделением по приложениям и типу сети (Wi-Fi, сотовый оператор). Большинство производителей Android-устройств предоставляют эти данные в приложении «Настройки». Дублирование её в интерфейсе мобильного антивируса кажется избыточным. Интерес может представлять совокупная информация по всем устройствам. Её успешно собирают и анализируют UEM системы.
- Ограничение мобильного трафика – настройка лимита, оповещение при его достижении. Пользователям большинства Android-устройств эти функции доступны в приложении «Настройки». Централизованная настройка ограничений – задача UEM, а не антивируса.
- Собственно, межсетевое экранирование (firewall). Или, иначе, блокировка доступа к определённым IP-адресам и портам. С учётом DDNS на всех популярных ресурсах и необходимости включения для этих целей VPN, который, как написано выше, не может работать совместно с основным VPN, функция кажется неприменимой в корпоративной практике.
Более 18000 тестовых образцов
7 приложений безопасности успешно обнаружили и удалили абсолютно все из около 18000 зараженных приложений в длительном тестировании.
В каждом из трех раундов тестирования, все приложения безопасности должны были обнаружить 3200 новейших вредоносных образцов. Затем объектом обнаружения становился эталонный набор еще из 2800 приложений, которые на момент запуска имели возраст около 2 недель. Таким образом, в общей сложности каждый участник тестирования должен был отразить около 18000 вредоносных образцов. Во всех трех раундах тестирования сразу 7 из 16 приложений смогли обнаружить абсолютно все опасные объекты — это решения от Antiy, Cheetah Mobile, G Data, Sophos, Symantec, Tencent и Trend Micro.
Alibaba, Avast, McAfee и PSafe показали уровень обнаружения в 99,9% в динамическом испытании и 100% в тест с набором известных угроз. Приложения от Bitdefender и “Лаборатории Касперского” обнаружили 99,8% угроз в первом сегменте и продемонстрировали безошибочное обнаружение во втором. AhnLab, F-Secure и Ikarus также достигли уверенного уровня обнаружения - 98,2% и 100% соответственно. Google Play Защита оказалась явным аутсайдером - защитная система смогла обнаружить только 56,8% образцов в динамическом тесте и 61,5% образцов в тесте обнаружения известных угроз.
Антикражная защита
Выполнение удалённых действий с мобильным устройством при потере или краже. Альтернатива сервисам Find My iPhone и Find My Device от Apple и Google соответственно. В отличие от своих аналогов сервисы производителей антивирусов не могут предоставить блокировку устройства, если злоумышленник успел сбросить его к заводским настройкам. Но если этого ещё не произошло, с устройством можно дистанционно сделать следующее:
- Заблокировать. Защита от недалекого вора, потому что легко обходится сбросом устройства к заводским настройкам через recovery.
- Узнать координаты устройства. Полезно, когда устройство было потеряно недавно.
- Включить громкий звуковой сигнал, чтобы по нему найти устройство, если на нём включен беззвучный режим.
- Сбросить устройство к заводским настройкам. Имеет смысл, когда пользователь признал устройство безвозвратно потерянным, но не хочет, чтобы хранимые на нём данные были разглашены.
- Сделать фото. Сфотографировать злоумышленника, если он держит телефон в руках. Наиболее сомнительная функциональность – вероятность того, что злоумышленник любуется в телефон при хорошем освещении, невысока. А вот наличие на устройстве приложения, которое может незаметно управлять камерой смартфона, делать фотографии и отправлять их себе на сервер, вызывает обоснованную тревогу.
Функции антивора в мобильных антивирусах доступны только для Android. Для iOS такие действия может выполнять только UEM. UEM на iOS-устройстве может быть только один – это архитектурная особенность iOS.
Дополнительный балл за дополнительные функции
AV-Test присваивает максимум 1 балл за дополнительные функции приложений, потому что многие из них могут быть не связаны с безопасностью. Среди важных функций - защита от кражи. Данный функционал есть почти во всех протестированных приложениях, кроме Antiy и Tencent. Также важное значение с точки зрения безопасности имеет веб-защита, которая оберегает пользователя от сайтов с вредоносным ПО и фишинга. Данная функция предлагается всеми приложениями, кроме Google Play Защита.
Многие приложения предлагают дополнительные функции: блокировка звонков, шифрование и резервное копирование данных, сканер домашней сети и функции защиты конфиденциальных данных. Тем не менее, многие функции зарезервированы для расширенных платных версий антивирусов. Как правило, такие версии предлагаются бесплатно на пробный период от 15 до 30 дней.
Защита от спама
Безопасный просмотр
Play Защита также предлагает функцию безопасного просмотра, которая предотвращает посещение опасных сайтов. Сайт, к которому вы пытаетесь получить доступ, проверяется на список небезопасных сайтов Google, который всегда обновляется. Вы узнаете, безопасен ли сайт, прежде чем перейдете по ссылке.
8 приложений заработали максимальный балл
В трех тестах за последние 6 месяцев сразу 8 приложений получили максимальный балл.
Все 16 мобильных антивирусов и Google Play Защита были протестированы в 3 отдельных раундах испытаний, которые проходили с ноября 2017 года по март 2018. Решения оценивались с точки зрения защиты, удобства использования и дополнительных функций. В первых двух категориях оценки участники тестирования могли получить до 6 баллов, а за функции - максимум 1 балл. Таким образом, максимально возможный результат - 13 баллов. Идеального результата удалось добиться Avast, Bitdefender, G Data, Kaspersky Lab, PSafe, Symantec, Tencent и Trend Micro. Немного отстали от них McAfee с 12.8 баллами, Alibaba с 12.7 баллами и AhnLab с 12.4 баллами.
Остальные приложения от Ikarus, Sophos, F-Secure, Antiy и Cheetah Mobile получили от 10,3 до 11,5 баллов. На последнем месте закрепилась Google Play Защита с 6 баллами.
Даже устройства без root-доступа подвержены опасности
Комментарий эксперта
Руководитель технической лаборатории Марсель Ваберски (Marcel Wabersky)
Архитектура системы Android создана таким образом, чтобы изначально гарантировать высокий уровень безопасности. Если устройствам открывается root-доступ, то пользователи самостоятельно уничтожают механизмы безопасности системы, и их устройства взломать легче. Однако, даже устройства без root-доступа подвержены опасности.
Снова и снова в Android обнаруживаются новые ошибки безопасности. Приложение с вредоносным эксплойтом пытается эксплуатировать данные уязвимости и взломать систему. Это именно тот сценарий, когда использование приложения безопасности для Android окупается. Мобильный антивирус блокирует и удаляет вредоносную программу, и угроза предотвращается.
Все больше уязвимостей в Android
Если вы хотите узнать, сколько уязвимостей обнаружено в Android, то посетите веб-сайт “Бюллетени по безопасности Android”. Взглянув на записи 2015 года, лишь отдельные уязвимости имеют уровни серьезности “высокий” и “критический”. Когда мы переходим к 2018 году, то обнаруживает десятки записей. Например, в марте 2018 года на веб-сайте сообщалось о 80 уязвимостях для версий Android от разных производителей - 11 из них являются “критическими”. Поскольку многие производители больше не создают обновления для старых версий Android, пробелы остаются открытыми и потенциальный риск атаки увеличивается. Google пытается обеспечить защиту от атак средствами Play Protect. С этой целью каждое приложение, установленное на мобильном устройстве, проверяется на регулярной основе и получает обновления, т.е. переустанавливается. Вот почему пользователи должны всегда использовать приложение безопасности.
Недели не проходит, как какая-нибудь фирма, специализирующаяся на компьютерной безопасности, выпускает таблицы и графики, пугающие количеством зловредных программ для Android, таящихся в интернете. Чаще всего подобны обзоры завершаются напоминанием о том, как специальная программа от этой компании может защитить ваши устройства от этих невзгод (и иногда это правда). Но Android по сути своей более безопасен, чем десктопный компьютер, поэтому вам эти программы, скорее всего, не нужны. У вас уже есть всё самое необходимое.
Берут на испуг
Свежий отчёт о зловредах пришёл со стороны Symantec. Они пугают тем, что 17% всех программ для Android – зловредны по своей сути. Страшно? Это подают под соусом «одно из пяти приложений – зловред». Можно поддаться панике и рассматривать смартфон, как площадку для инфекций, но в реальности всё не так просто.
Как это обычно бывает, Symantec обозревает всю экосистему приложений Android в целом. Это значит, все приложения из Google Play Store, и все остальные, что лежат на разных сайтах и альтернативных сборниках. И скорее всего, варезные площадки в том числе.
Symantec подтвердила, что лишь мизерная часть вредоносов была замечена в Play Store, и их оттуда довольно быстро выпиливают. Google автоматически сканирует приложения и выявляет нехорошее поведение. Люди также стараются не пропускать всё, что вызывает малейшие вопросы. Такие пристальные обзоры поступающих приложений начали делать несколько месяцев назад.
Google Play
Мы все знакомы с вредоносными программами для PC, пролезающими с «неправильных» сайтов через уязвимость в браузере. Такое вряд ли возможно на Android-системе, если она уже не заражена предварительно. Там нужно ткнуть пальцем на APK, чтобы установить программу. И вручную обойти некоторые установки безопасности.
Антивирусные компании предлагают устанавливать их продукты, которые сканируют каждое приложение, отслеживают веб-трафик и т.п. Они высасывают ресурсы телефона и раздражают своими всплывающими уведомлениями. Скорее всего, вам не пригодятся Lookout, AVG, Symantec/Norton или другие антивирусы. Вместо этого нужно просто соблюдать несколько разумных правил.
Несколько разумных правил
Не меняйте настройки безопасности, установленные по умолчанию. Например, обычно в телефоне запрещена установка APK из «Неизвестных источников». И вы будете в безопасности, поскольку будете устанавливать только приложения из Google Play, где вредоносов практически нет.
Бывают случаи, когда вам нужно работать с «неизвестными источниками». К примеру, Amazon’ский клиент Appstore сам скачивает игры и приложения, и многие сайты с хорошей репутацией размещают обновления приложений. Если вы хотите воспользоваться этим, то увидите уведомление с вопросом – разрешить ли Google сканировать устройство для выявления подозрительной активности. Эта функция под названием Verify Apps присутствует почти на всех официальных телефонах под Android.
Пользователи получали root-доступ с первых дней существования системы, но сегодня большинство функций, к которым они стремились добраться, доступны и так. Использование рутованого телефона – это использование в режиме администратора. Конечно, возможно делать это безопасно, но риск всё-таки присутствует. Многим вредоносам требуется рутовый доступ к некоторым функциям телефона, в ином случае они окажутся бессильными. Если у вас нет действительно уважительных причин для рутования – лучше этим не заниматься
Также существуют вроде бы не вредоносные приложения, но и не особенно приятные – те, что копаются в ваших персональных данных. Большинство людей не читает список разрешений, которые запрашивают приложения. Если вы беспокоитесь о приватности, проверяйте, не требуют ли приложения доступа к SMS, контактам или местоположению. Если у приложения есть повод (например, это соцсеть), тогда всё должно быть ОК. Если фонарик запрашивает доступ к контактам – подумайте дважды.
В общем, требуется лишь толика здравого смысла, чтобы избежать зловредных приложений. Если вы просто будете устанавливать приложения лишь из Play Store и других 100% надёжных источников, то будете защищены от практически всех угроз. Антивирусы в лучшем случае будут лишними, а в худшем – просто обузой для вашей системы.
TL;DR если на ваших корпоративных мобильных устройствах нужен антивирус, значит вы делаете все неправильно и антивирус вам не поможет.
Этот пост — результат жарких споров на тему того, нужен ли на корпоративном мобильном телефоне антивирус, в каких случаях он работает, а в каких бесполезен. В статье разбираются модели угроз, от которых в теории должен защищать антивирус.
Продавцам антивирусов часто удается убедить корпоративных клиентов, что антивирус сильно повысит их безопасность, но в большинстве случаев это иллюзорная защита, из-за которой только снижается бдительность как пользователей, так и администраторов.
Антивирус нас спасет?
К сожалению, за маркетинговыми слоганами теряется реальный смысл задач, которые выполняет антивирус на мобильном устройстве. Попробуем разобраться детально, что делает антивирус на телефоне.
Аудит безопасности
Большинство современных мобильных антивирусов выполняет аудит настроек безопасности на устройстве. Иногда такой аудит называют «проверкой репутации устройства». Антивирусы считают устройство безопасным, если выполняются четыре условия:
- Устройство не взломано (root, jailbreak).
- На устройстве настроен пароль.
- На устройстве не разрешена отладка по USB.
- На устройстве не разрешена установка приложений из недоверенных источников (sideloading).
По корпоративным обычаям недостаточно только уведомить пользователя. Необходимо исключить небезопасные конфигурации. Для этого с помощью UEM-системы нужно настроить на мобильных устройствах политики безопасности. А в случае обнаружения root / jailbreak надо стремительно удалять с устройства корпоративные данные и блокировать его доступ в корпоративную сеть. И это тоже возможно с помощью UEM. И только после этих процедур можно считать мобильное устройство безопасным.
Поиск и удаление вирусов
Вопреки расхожему мнению, что для iOS не существует вирусов, это неправда. В дикой природе до сих пор распространены эксплойты для старых версий iOS, которые заражают устройства через эксплуатацию уязвимостей в браузере. При этом, из-за архитектуры iOS, разработка антивирусов для этой платформы невозможна. Основная причина — приложения не могут получить доступ к списку установленных приложений и имеют много ограничений при доступе к файлам. Список установленных iOS-приложений может получить только UEM, но даже UEM не может получить доступ к файлам.
С Android ситуация иная. Приложения могут получить информацию об установленных на устройстве приложениях. Они могут даже получить доступ к их дистрибутивам (например, Apk Extractor и его аналоги). Android-приложения также имеют возможность доступа к файлам (например, Total Commander и др.). Android-приложения возможно декомпилировать.
С такими возможностями логичным выглядит такой антивирусный алгоритм:
- Проверка приложений
- Получить список установленных приложений и контрольные суммы (КС) их дистрибутивов.
- Проверить приложения и их КС сначала в локальной, а затем в глобальной базе.
- Если приложение неизвестно, передать его дистрибутив в глобальную базу для анализа и декомпиляции.
- Проверка файлов, поиск вирусных сигнатур
- Проверить КС файлов в локальной, затем в глобальной базе.
- Проверить наличие в файлах небезопасного содержимого (скриптов, эксплоитов и т.д.) по локальной, а затем глобальной базе.
- Если обнаружено malware, сообщить пользователю и/или заблокировать доступ пользователя к malware и/или передать информацию в UEM. Передавать информацию в UEM необходимо, потому что антивирус не может самостоятельно удалить malware с устройства.
Malware без привилегий root может
1. Нарисовать поверх приложения своё невидимое окно или внедрить свою клавиатуру, чтобы копировать вводимые пользователем данные – параметры учётных записей, банковских карт и т.д. Недавний пример – уязвимость CVE-2020-0096, с помощью которой возможно подменить активный экран приложения и тем самым получить доступ к вводимым пользователем данным. Для пользователя это означает возможность кражи учётной записи Google с доступом к резервной копии устройства и данным банковских карт. Для организации в свою очередь важно не потерять свои данные. Если данные находятся в приватной памяти приложения и не содержатся в резервной копии Google, то malware не сможет получить к ним доступ.
2. Получить доступ к данным в публичных каталогах – загрузки, документы, галерея. В этих каталогах не рекомендуется хранить имеющую ценность для компании информацию, потому что к ним может получить доступ любое приложение. Да и сам пользователь всегда сможет поделиться конфиденциальным документом с помощью любого доступного приложения.
3. Надоедать пользователю рекламой, майнить биткойны, быть частью ботнета и т.д. Это может негативно сказаться на работоспособности пользователя и/или устройства, но не станет угрозой для корпоративных данных.
Malware с привилегиями root потенциально могут все, что угодно. Встречаются они редко, потому что взлом современных Android-устройств с помощью приложения практически невозможен. Последний раз подобная уязвимость была обнаружена в 2016 году. Это нашумевший Dirty COW, которому был присвоен номер CVE-2016-5195. Ключевое здесь то, что при обнаружении признаков взлома UEM клиент сотрёт всю корпоративную информацию с устройства, поэтому вероятность успешной кражи данных с помощью таких malware в корпоративном мире невысока.
Вредоносные файлы могут наносить вред как мобильному устройству, так и корпоративным системам, к которым оно имеет доступ. Разберём эти сценарии подробнее.
Вред мобильному устройству можно нанести, например, если скачать на него картинку, которая при открытии или при попытке установки обоев превратит устройство в «кирпич» или перезагрузит его. Скорее всего это навредит устройству или пользователю, но не скажется на конфиденциальности данных. Хотя бывают и исключения.
Вред корпоративным системам могут нанести файлы, которые передаются с мобильных устройств. Например, на мобильном устройстве есть заражённый файл, который не может причинить вреда устройству, но может заразить Windows-компьютер. Пользователь отправляет такой файл по электронной почте своему коллеге. Тот открывает его на ПК и, тем самым, может его заразить. Но на пути этого вектора атаки стоят по крайней мере два антивируса – один на сервере электронной почты, другой на ПК получателя. Добавление в эту цепочку третьего антивируса на мобильном устройстве кажется совсем уж паранойей.
Как видно, наибольшую угрозу в корпоративном цифровом мире представляют malware без привилегий root. Откуда они могут взяться на мобильном устройстве?
Чаще всего их устанавливают с помощью sideloading, adb или сторонних магазинов, которые должны быть запрещены на мобильных устройствах с доступом в корпоративную сеть. Остаётся два варианта попадания malware – из Google Play или из UEM.
Перед публикацией в Google Play все приложения проходят обязательную проверку. Но для приложений с небольшим числом установок проверки чаще всего выполняются без участия людей, только в автоматическом режиме. Поэтому иногда в Google Play попадает malware, но всё-таки не часто. Антивирус, чьи базы своевременно обновляются, сможет выявить приложения с malware на устройстве раньше Google Play Protect, который пока отстаёт по скорости обновления антивирусных баз.
UEM может поставить на мобильное устройство любое приложение, в т.ч. malware, поэтому любое приложение нужно предварительно проверять. Приложения можно проверять как в процессе их разработки с помощью средств статического и динамического анализа, так и непосредственно перед их распространением с помощью специализированных «песочниц» и/или антивирусных решений. Важно, что при этом приложение проверяется однократно перед загрузкой в UEM. Следовательно, и в этом случае антивирус на мобильном устройстве не нужен.
Как работает Google Play Защита?
Google Play Защита всегда защищает ваш смартфон от вредоносных программ и обновляется автоматически. Благодаря использованию технологий машинного обучения Google Play Защита может проверять 50 миллионов приложений в день.
Получить доступ к Play Защита можно перейдя в Настройки > Google > Безопасность > Google Play Защита.
Функция не ограничивается сканированием приложений только из Google Play и также проверяет приложения, загруженные из других источников.
Если Google Play Защита обнаруживает подозрительное приложение, компонент либо отключит его, либо покажет пользователю предупреждение. Пользователь может посмотреть общее число проверенных приложений. Если угроз не обнаружено, вы увидите зеленый значок с галочкой.
Как используется устройство?
Android – это обширная экосистема, которая заработала свою репутацию за относительную открытость по сравнению с iOS. Вы можете загружать приложения и APK файлы из любых источников, вы можете настроить root-доступ на устройстве и установить другую систему на базе Android. Чем более активно вы модифицируете систему, тем больше вероятность нанести ущерб вашему устройству. Вероятно, вы знаете потенциальные риски и предпринимаете необходимые меры предосторожности.
Например, нужно быть внимательным и осторожным при загрузке APK-файлов из сторонних источников, а не из магазина приложений Google Play (для этого нужно разрешить установку приложений из неизвестных источников).
Когда вы загружаете APK со сторонних сайтов, встроенный в Android антивирус Google Play Защита уже не может вам помочь. Если вы не уверены в источнике приложения, то должны рассмотреть установку антивируса для Android, чтобы обеспечить дополнительную защиту.
Проверка доверенности Wi-Fi
Мобильные антивирусы могут оценивать безопасность Wi-Fi сетей, к которым подключается мобильное устройство. Можно предположить, что проверяются наличие и стойкость шифрования. При этом всем современные программы используют шифрование для передачи чувствительных данных. Поэтому, если какая-то программа уязвима на канальном уровне, то ее также опасно использовать через любые интернет-каналы, а не только через публичный Wi-Fi.
Поэтому публичный Wi-Fi, в том числе без шифрования, не более опасен и не менее безопасен чем любые другие недоверенные каналы передачи данных без шифрования.
Что такое Google Play Защита?
Все очень просто: Google Play Защита - новая функция, которая заменяет старую функции проверки приложений. Компонент сканирует устройство Android и предоставляет детальную информацию о проверках. Google Play Защита не нужно устанавливать, компонент поставляется как часть магазина приложений Google Play.
Фактически Google Play Защита представляет собой встроенный антивирус, который будет обеспечивать безопасность данных и беспроблемную работу устройства. После выпуска функция была интегрирована во все устройства Android.
Раздражающие приложения подлежат удалению
Если приложение обеспечивает достойный уровень защиты, но при этом постоянно прерывает активность пользователя и интенсивно потребляет заряд аккумулятора, то, вероятнее всего, оно будет удалено с мобильного устройства. При оценке удобства использования специалисты лаборатории очень внимательно оценивают поведение приложения, в частности сколько вычислительной мощности оно требует для работы и сколько данных потребляет в фоновом режиме. В данной категории также учитывается реакция мобильного антивируса на установку безопасных приложений. Для этой целе из Google Play загружается от 2500 до 3000 надежных приложений Android. Если система обнаружения работает корректно, то с ложными срабатываниями вы не столкнетесь.
Avast, Bitdefender, G Data, Kaspersky Lab, PSafe, Symantec, Tencent , Trend Micro, а также Google Play характеризуются корректным поведением и не выдали ни одного ложного срабатывания, за что получили максимальные 6 баллов в категории удобства использования.
Остальные 8 приложений несколько раз ошибочно блокировали безопасные приложения Android. В случае с McAfee, Alibaba и AhnLab ложные тревоги возникали только эпизодически - они получили от 5,7 до 5,5 баллов. Antiy, Cheetah Mobile, F-Secure и Sophos выдали гораздо больше ошибочных обнаружений и заработали от 3,3 до 4,5 баллов.
Читайте также: