Android – одна из самых популярных мобильных операционных систем в мире. Ей пользуются около полутора миллиардов человек. Но, несмотря на подобную распространённость, до некоторых пор в корпоративной среде эту ОС старательно избегали, опасаясь угроз безопасности.Такая ситуация сложилась не случайно. В Android, до 5 версии, было множество уязвимостей. Теперь же Google всерьёз взялась за безопасность. Вдобавок к поддержке шифрования данных и автоматической блокировке экрана, в устройствах, работающих под управлением свежих версий Android, приложения ограничены в правах. Это способствует повышению уровня защищённости платформы.
Ещё одно важное улучшение в данной области представлено новой инициативой Google для организаций – Android for Work. В рамках Android for Work предлагается, во-первых – безопасность корпоративного уровня, во-вторых – возможность контейнеризации рабочих пространств, разделения рабочих и личных данных пользователей.
Эти улучшения серьёзно меняют дело, позволяя смело использовать Android-устройства в бизнес-среде. Естественно, при условии, что организации будут прилагать усилия к устранению проблем с безопасностью, присущих, в силу её особенностей, платформе Android. В этом материале мы рассмотрим четыре рекомендации по управлению Android-устройствами. А именно:
- Предотвращение получения пользователями повышенных привилегий на устройствах.
- Защита от мобильных вредоносных программ.
- Обязательное применение надёжных методов защиты информации.
- Реализация политик управления устройствами.
Предотвращение получения повышенных привилегий
В Android-среде взлом устройств с целью получения повышенных привилегий называют «рутованием». Это жаргонное, но весьма распространённое слово – русский вариант английского «rooting». Означает оно «получение прав суперпользователя», который в среде Unix-подобных ОС называется «root». Фактически это – снятие ограничений, накладываемых производителем на устройство, и получение полного доступа к нему. Пользователи взламывают телефоны и планшеты самостоятельно. Всё дело в том, что на рутованное Android-устройство можно устанавливать любые приложения, в том числе – потенциально опасные. Можно настраивать, на любом уровне, операционную систему, менять прошивку аппарата.
Приложение для получения прав суперпользователя на Lenovo Yoga Tablet
Рутованные устройства представляют серьёзную проблему безопасности для организаций. Эти устройства находятся в группе повышенного риска заражения вредоносным ПО. Работая в корпоративной сети, они могут быть причиной «утечек данных», могут сделать сеть уязвимой к хакерским атакам.
Проблема, связанная с получением пользователем повышенных привилегий, характерна не только для платформы Android. Так, например, в среде мобильных устройств от Apple существует термин «джейлбрейкинг». Он произошёл от англоязычного «jailbreak», что в дословном переводе означает «побег из тюрьмы». Джейлбрейкинг – это снятие стандартных ограничений на устройствах от Apple, работающих на iOS. В частности, таких, как iPhone, iPod touch, iPad, второе поколение Apple TV. Снятие ограничений заключается в программной или аппаратной модификации устройств, благодаря которому пользователь получает полный доступ к файловой системе iOS. Ему открываются новые возможности по настройке устройства, по установке приложений, расширений и тем, которые недоступны в Apple App Store. Однако в результате страдает безопасность и теряется гарантия на аппарат.
Для борьбы с рутованием рекомендовано запрещать подключение взломанных Android-устройств к корпоративной сети. Кроме того, полезно проводить с сотрудниками занятия по информационной безопасности. В частности, на таких занятиях стоит поднять тему того, какую угрозу рутованные устройства представляют для организации, и того, к каким последствиям могут привести утечка данных или их безвозвратная потеря.
Защита от мобильных вредоносных программ
Пользователи Android-устройств могут устанавливать приложения не только из Google Play, но и из других источников. Среди программ, установленных из ненадёжных источников, немало таких, которые несут в себе вредоносную составляющую. Риск установки вредоносного приложения, хотя и очень небольшой, благодаря политике безопасности Google, существует и при работе исключительно с Google Play. Это способно повлиять на организации, в которых работают пользователи, так как вредоносные программы могут красть логины и пароли для доступа к критически важным ресурсам, открывать доступ в корпоративные сети посторонним лицам, могут быть причиной потери важных данных.
Лучший способ защиты корпоративных ресурсов от мобильного вредоносного ПО заключается в установке защитных приложений на тех устройствах, которые подключаются к сети организации. Вот небольшой список решений, который стоит рассмотреть при выборе защиты от вредоносных программ:
- Dr.Web Antivirus
- Antivirus and Mobile Security (Avast)
- Mobile Security and Antivirus by ESET
- Armor for Android
- AntiVirus Security Free by AVG
- Mobile Security and AntiVirus by Avast
- Zoner AntiVirus Free
- BitDefender AntiVirus Free
- Hornet AntiVirus Free
- Norton Security Antivirus
Кроме того, нужно учесть, что защитному приложению должны быть доступны все приложения, установленные на устройстве пользователя. Оно должно обладать функцией обнаружения вредоносных программ в реальном времени, возможностью вести «чёрные списки» потенциально опасных приложений. В идеале, для распространения и обновления разрешённых в организации приложений, нужно, чтобы защитное ПО поддерживало использование безопасного корпоративного каталога или хранилища таких приложений.
Применение надёжных методов защиты информации
Если к корпоративной сети могут подключаться мобильные устройства – для защиты информации нужны надёжные меры безопасности. Конкретные подходы к обеспечению безопасности в разных организациях могут различаться, они зависят от специфики деятельности. Мы хотим предложить набор базовых рекомендаций, которые стоит включить в корпоративную политику управления мобильными устройствами.
- Пароли для доступа к ресурсам обязательно должны быть сложными.
- Нужно везде, где возможно, применять шифрование данных.
- Требуется контролировать использование приложений, основываясь на информации о подключении устройства к Wi-Fi-сетям предприятия, и, на основании политик доступа и сведений о примерном местоположении устройства, блокировать некоторые функции. В частности, к таким функциям относятся копирование и вставка данных, службы определения местоположения, электронная почта и приложения для обмена сообщениями, использование камеры и микрофона.
Обзор возможностей Google for Work
В дополнение к вышесказанному, здесь мы хотели бы сделать обзор возможностей Google for Work, которые основаны на передовых подходах к организации удобной и безопасной работы мобильных корпоративных пользователей.
Безопасность и разделение данных. При развёртывании Android for Work используется аппаратное шифрование и политики безопасности, управляемые администратором. Это позволяет разделить бизнес-данные и данные пользователя. Данные организации оказываются в безопасности, они защищены от вредоносного ПО. Информация пользователя при этом недоступна никому, кроме него.
Поддержка корпоративных устройств и личных устройств сотрудников. Пользователи Android for Work могут безопасно применять одно и то же устройство и для рабочих, и для личных целей. Компании могут предоставлять предварительно подготовленные корпоративные устройства работникам, а так же – настраивать рабочие профили на устройствах, которые принадлежат сотрудникам.
Удалённое управление. Администраторы могут удалённо управлять политиками безопасности, связанными с работой организации, приложениями и данными. Критически важные данные можно удалить с устройства дистанционно, при этом не затронув личных данных пользователя.
Удобная работа с личными и корпоративными приложениями. Android for Work позволяет создать однородную рабочую среду на всех устройствах. Личные и рабочие приложения находятся в одних и тех же списках установленных и недавно использованных приложений. Переключаться между разными видами приложений очень просто. К тому же, иконки для запуска рабочих приложений выделены особыми значками, которые чётко отличают их от личных приложений.
Упрощённая установка приложений. Администраторы могут использовать Google Play для поиска разрешённых в организации приложений, добавления их в белый список и для установки бизнес-приложений на устройства, работающие в системе Android for Work. Кроме того, Google Play можно использовать и для развёртывания собственных приложений компаний, предназначенных только для внутреннего использования. Подробнее об этом можно узнать в справочном центре Google Play for Work.
Отдельный набор приложений для работы. Пользователи, у которых нет Google Apps for Work, могут пользоваться полным набором безопасных рабочих приложений, специально созданных для применения в рамках Android for Work, но работающих и самостоятельно. В набор входят почтовая программа, календарь, записная книжка, список задач и менеджер загрузок.
Google предлагает систему Android for Work вместе с набором приложений Google Apps for Work. Всё это подходит для немедленного развёртывания. Система позволяет администраторам приложений пакета Google Apps for Work пользоваться функционалом корпоративного управления мобильными устройствами с помощью административной консоли. Это расширяет возможности по управлению устройствами.
Реализация политик управления устройствами
ИТ-служба компании должна иметь возможность централизованного управления Android-устройствами и их настройки. Рекомендовано выполнять дистанционную очистку потерянных или украденных устройств. Кроме того, очистку нужно проводить после некоторого количества неудачных попыток разблокировки смартфона или планшета. Весьма полезно организовать систему применения политик безопасности, основанную на местоположении устройства.
О безопасности в экосистеме Android
Google, работая над ОС Android и площадкой Google Play, стремится сделать экосистему Android безопаснее. Этой целью руководствуется команда Android Security, которая делает всё возможное для того, чтобы Android-устройства были как можно меньше подвержены угрозам.
Google применяет многоуровневый подход к безопасности. Первый уровень – это предотвращения самой возможности возникновения угрозы. Далее – это выявление вредоносных приложений и быстрая реакция при возникновении каких-либо проблем. А именно, вот что в Google делается ради повышения безопасности:
- Компания стремится предотвратить возникновение проблем с безопасностью. Делается это с помощью анализа архитектуры решений, тестирования систем на проникновение, аудита кода.
- До выпуска новых версий Android и Google Play проводится анализ безопасности.
- Исходный код Android открыт, доступен всем желающим. Как результат, его может анализировать большое сообщество разработчиков, выявляя проблемы и помогая сделать Android самой безопасной мобильной платформой в мире.
- Делается всё возможное для того, чтобы свести к минимуму последствия проблем с безопасностью. В частности, с помощью таких решений, как изолированная среда исполнения приложений.
- Приложения в Google Play проходят регулярную проверку на уязвимости и проблемы с безопасностью. Если приложение может представлять угрозу для устройств или данных, его удаляют с площадки.
- Ведётся плотная работа с партнёрами, направленная на как можно более быстрое устранение обнаруженных проблем с безопасностью и выпуск обновлений.
Команда разработки Android тесно сотрудничает с сообществом экспертов в области безопасности, обсуждая идеи, применяя в работе передовые решения, совершенствуя систему. Android является частью Google Patch Reward Program. Программа предусматривает вознаграждение для разработчиков, которые вносят вклад в повышение безопасности популярных проектов с открытым исходным кодом, многие из которых являются основой для Android Open Source Project (AOSP). Кроме того, Google является членом Forum of Incident Response and Security Teams (FIRST).
Заключение
Усилия Google сделали Android безопаснее, Android for Work позволяет взять под контроль мобильные устройства, которыми сотрудники пользуются для решения бизнес-задач. Однако не стоит забывать о том, что не существует абсолютно защищённых компьютерных систем.
На базе решений Google можно наладить безопасную работу Android-устройств в организации, но только в том случае, если будут учтены особенности такой работы, в том числе – человеческий фактор. Надеемся, этот материал поможет вам в построении безопасной мобильной рабочей среды.
Комментарии (30)
Evengard
01.12.2015 21:17+4Опять пытаются личные устройства загнать под управление компаний… Иногда ИТ службы слишком параноидальны.
qw1
02.12.2015 14:57+1Наш ответ — получить рут и модифицировать приложения, чтобы они отвечали центру безопасности, что всё находится под его контролем, а в реальности никакие политики не применялись.
khim
03.12.2015 00:45Не очень понятно чем это поможет. Все такие вещи ведь начинаются с подписания бумаг. Если вы сознательно нарушаете правила, которые согласились соблюдать, то это не только увольнением может кончится.
qw1
03.12.2015 12:53Как интересно юридически сформулировано это? Подписавшийся не имеет права модифицировать ПО на личном телефоне?
Я сталкивался с тем, что при подключении к EAS почтовый клиент требует прав администратора устройства, а если не нравится — почта откажется загружаться.khim
03.12.2015 14:07Как интересно юридически сформулировано это? Подписавшийся не имеет права модифицировать ПО на личном телефоне?
По разному. Обычно вы соглашаетесь «не противодействовать работе технических средств защиты», иногда просто белый список аппаратов и прошивок есть. Суть BYOD — в том, что вы даёте компании контроль над своим аппаратом, а взамен получаете возможность работать не только в офисе (как вариант — не носить два аппарата). Не нравится — не ешьте, но тогда смиритесь с тем, что ваши коллеги, которые на это пойдут, будут получить более высокие оценки по разным показателям.qw1
03.12.2015 18:12Ну хорошо. Пусть в 5% кейсов юристы это предусмотрят и пропишут. Остальные работники будут делать что хотят. Реально я не видел договора, затрагивающие BYOD
khim
03.12.2015 19:14А почему вы считаете что это должен быть какой-то отдельный договор? Это обычно оформляется приказом по предприятию — часто тем же самым, с которого, собственно, начинается деятельность по настройке всего этого.
qw1
03.12.2015 21:59Работник, который устраивается на место, как правило не подписывает 100500 «ознакомлен» на каждый приказ. А что, есть такой приказ? Ладно, тогда не буду. В купе с околонулевыми шансами обнаружения (да и кому этим реально захочется заниматься), безопасная практика.
khim
03.12.2015 23:01Это всё — уже давно пройденный этап. Если бы всё можно было бы устроить так, как вы говорите, то никаких массовых банов аккаунтов не было бы ни в Xbox Live, ни в PSN.
Ну а дальше — всё зависит от внутренних правил самой компании. Если в организации есть нормальная служба безопасности, то шансы обнаружения отнюдь не околонулевые. В какой-нибудь мелкой конторе в 3.5 человека вряд ли будет кому этим заниматься, тут вы, несомненно, правы.qw1
04.12.2015 02:11При чём здесь игровые сервисы? Там банят читеров, либо игроков, передающих друг другу реквизиты аккаунтов, чтобы не покупать игры. Это слишком заметно, первое влияет на других игроков, второе вносит аномалии в статистику.
В андроиде я например отключу обязательное шифрование SD или обязательную установку пароля, которые требуются для получения почты, оставив в ф-ции, проверяющей compliance, результат true, или поставлю return-void в самое начало ф-ции SyncManager::wipeDeviceData, чтобы обезопасить свои данные от стирания, и как они это спалят?
Весь java-код защиты мне доступен через dalvik-декомпилятор, вся их надежда на то, что я что-то не замечу, но даже попыток обфусцировать код не делается.khim
04.12.2015 02:35При чём здесь игровые сервисы?
Xbox Live и PSN, а не просто абстрактные игровые сервисы. Они очень и очень неплохо банят людей, которые пытаются использовать консоли с неофициальной прошивкой :-) Причём банятся даже консоли с перепрошитыми DVD-приводами, а уж если прошивка не «родная», то лучше в сеть вообще не высовываться. Иногда люди находят методы обхода, но хватает их в типичном случае на несколько дней. Уж не знаю какие там аномалии в статистику кто вносит, но факт имеет место быть: защиту оффлановые игры обходят успешно, но при попытки выйти в онлайн бан вас настигает очень и очень быстро даже если вы будете только в лицензию играть.
В андроиде я например отключу обязательное шифрование SD или обязательную установку пароля, которые требуются для получения почты, оставив в ф-ции, проверяющей compliance, результат true, или поставлю return-void в самое начало ф-ции SyncManager::wipeDeviceData, чтобы обезопасить свои данные от стирания, и как они это спалят?
Зачем им это «палить»? Им нужно обнаружить наличие неоффициальной прошивки и всё. Неправильные ключи где-нибудь, не те сертиикаты и т.п.
Весь java-код защиты мне доступен через dalvik-декомпилятор, вся их надежда на то, что я что-то не замечу, но даже попыток обфусцировать код не делается.
Не понимаю о каком «коде защиты» вы говорите. Проверки много где сидеть могут. Не только в самом приложении Google App for Work, но и в Google Play Services и в других местах системы. И они, почти наверняка, данные просто собирают и отсылают на сервер. Причём новые версии могут совсем не то собирать, что старые (а отказ высылать «нужные» данные через неделю после выхода обновления — уже само по себе повоз вызвать вас в отдел безопасности и выяснить «чего это вы такое себе позволяете»).qw1
04.12.2015 04:10Понятно, мы просто о разных вещах говорим. Вы про Android for Work, архитектуру которого я не изучал, а я про EAS-провайдера, который вшит в прошивки от HTC.
Последний никогда на моей памяти не обновлялся и протокол связи с exchange вполне обозрим и поддаётся пониманию и аккуратному патчингу. Что там остальные части прошивки отправляют в гугл, по большому счёту нашим админам недоступно. Панель управления мобильными девайсами exchange я предварительно посмотрел, возможности изучил.
Если хорошо покопаться в Android for Work, там тоже будет не так всё страшно, начать надо с инструкций по управлению всем этим, изучить какие инструменты есть у противника, исходя из этого подумать что и через какие каналы может получить предприятие. Я вот не думаю, что там потоки данных проходят через гугл, не по-энтерпрайзному это.khim
04.12.2015 13:11Я вот не думаю, что там потоки данных проходят через гугл, не по-энтерпрайзному это.
Да ну? У BlackBerry все потоки через их датацентры проходят — и ничего, даже Обама пользуется (пользовался?).
Кроме того нужно понимать что только лишь начиная эти игры вы автоматически позиционируете себя как человека «неблагонадёжного», которого, после раскрытия «злого умысла» занесут во все чёрные списки. Не знаю — как это работает в России, но в Европе и США наличие подобного «пятна на репутации» будет ещё долго отравлять вам жизнь. Без этого фактора, разумеется, никакие технические меры работать не будут.qw1
04.12.2015 14:08По западным меркам я вообще террорист, потому что не веду профили в соц. сетях.
Интересно, как технически реализована «репутация» на западе. Как и у нас, обзвон предыдущих мест работы?khim
04.12.2015 19:28Ну кто ж вам так сразу скажет. Есть специальные агенства, у которых можно спросить про то, что они знают у кандидата. Они, очевидным образом делятся некоторой информацией друг с другом. Понятно что не всей (иначе чем они будут отличаться друг от друга), но такие ужасные вещи, про которые вы рассказываете, разумеется, не будут скрываться.
Я работал в нескольких компаниях и принцип был везде один и тот же: всякие невыполнения производственных показателей, нарушение дисциплины и прочее — фигня. С вами будут возиться, пытаться помочь, понять и т.д. и т.п. Даже если ваш начальник захочет вас уволить — можно растянуть этот процесс на месяцы. Есть только один способ сразу и быстро вылететь с работы (в 24 часа и хорошо если вам дадут вынести свои вещи): не поладить со службой безопасности. Того, про что вы тут говорите — будет более, чем достаточно.
И тут есть своя логика. Есть такое хорошо известное высказывание: можно бесконечно долго обманывать одного человека, можно непродолжительное время обманывать большое количество людей, но нельзя постоянно обманывать всех. Это — база для всех служб безопасности, которые работают. Следствие из неё такое: технические средства применяются для отлова людей, которые что-то делают по незнанию или неосторожности (то есть борются с теми опасностями, которые непродолжительное время могут «обманывать всех»), а отдельные, специально обученные, люди борются с теми, кто сознательно пытаются обойти средства защиты (то есть с теми опасностями, которые могут «бесконечно долго обманывать» примитивные автоматизированные средства защиты). Если у вас какая-то из этих частей прихрамывает — то у вас и безопасности в целом не будет.
И тут неважно — это система безопасности фирмы или государства, большой китайский файрволл в этом смысле ничуть не отличается от Android for Work. Их задача — отловить «проблемы» создаваемые «типичными», не слишком продвинутыми «врагами». Но кто-то должен закрывать и вторую «дыру», иначе вся система работать не будет.qw1
04.12.2015 20:23Я в такую конспирологию не поверю. Собирать досье на людей без их ведома для предоставления коммерческим структурам — это похлеще признаний Сноудена. Должны быть утечки. И откуда новые СБ-шники узнают о таком агентстве. А если не узнают, не передадут информацию и агентство не выполнит своих задач.
Цитату загуглил, она обычно используется в контексте «власти скрывают от народа»
отдельные, специально обученные, люди борются с теми, кто сознательно пытаются обойти средства защиты
у них должна быть квалификация выше тех, кого они ловят. Надо просто хорошо понимать, что их специализация — соц. инженерия, и только на ней они могут выехать.
navion
04.12.2015 23:09подключении к EAS почтовый клиент требует прав администратора устройства
Засада в том, что со стороны Exchange это не отключается.qw1
05.12.2015 00:14Это зависит от реализации на клиенте. Например, стоковая реализация от HTC не запрашивает права администратора устройства, пока не прилетает политика, для применения которой нужны права.
SannX
02.12.2015 07:38+1Мне кажется, что Android for Work вполне можно назвать %YOUR_OS% for Work. Ибо даны общие рекомендации, которые применимы к любой платформе. А я ожидал описание какого-нибудь нового API, или особых приложений, или спец. версия ОС. А тут просто советы: не рутовать, не ставить апп из неизвестных источников, использовать антивири, сложные пароли и т.д. По сути статья — повторение известных рекомендаций.
qw1
02.12.2015 15:01+3Это вполне конкретное приложение, предустановленное в некоторые смартфоны
play.google.com/store/apps/details?id=com.google.android.apps.work.core
MrCleaner
02.12.2015 14:22+2ИМХО лучший совет: «Учись. Думай. Не ленись»
98% пользователей выбирают телефон по внешнему виду, используют контент по умолчанию, не задумываясь откроют трояна в письме и сообщат свой пинкод поддельному сайту. Статья для них. Для их спокойствия. Те, у кого хватает любопытства и упорства лопатить форумы и разбираться с root уже подумали, и о защите, и о backup.
gydex
02.12.2015 20:05В целом эти рекомендации подходят к пострению любой корпоративной системы.
Если есть реально работающее приложение под Андроид, реализующее все перечисленное — оно существенно облегчит работу. Другой вопрос — а кто контролирует работу самого этого приложения?
sigizmund
02.12.2015 22:13Chrome является одним из таких примеров — он поддерживает тонкую настойку приложения при помощи managed configurations: например, для внутренних сайтов можно потребовать от Хрома предъявлять некий сертификат.
sigizmund
02.12.2015 22:11Для борьбы с рутованием рекомендовано запрещать подключение взломанных Android-устройств к корпоративной сети.
Не только это. Android for Work поддерживает возможность установить флаг «device is out of compliance» — т.е. если по каким-то причинам устройство не соответствует требованиям безопасности, рекомендуется отключить не только корпоративную сеть (что, вообще говоря, не является требованием) но и запретить доступ, скажем, к почте.
play.google.com/store/apps/details?id=com.google.android.apps.work.core
Android for Work App это немного другая песня — для телефонов, которые не поддерживают Android for Work Managed Profile, предлагается возможность использования app-based conteinerisation (для примера, Good for Enterprises использует похожий подход).
Мне кажется, что Android for Work вполне можно назвать %YOUR_OS% for Work
Это вообще мимо :-)) Читать, например, здесь.
Bringoff
Пользуюсь андроидом с 2011-го. Все устройства были рутированы. (которые по большому счету не больше, чем плацебо на андроиде). Ни разу никаких зловредов не подхватил. «Следовательно, разруха не в клозетах, а в головах»
(О_о хабр фильтрует знак копирайта)kAIST
Как будто не на рутованном смартфоне этого сделать нельзя.
Boomburum
Ну, с рутом всяко опасней ) Равно как и с джейлбрейком.
kaman
Зловреды сейчас хитрые, при необходимости получат и рута. Так что риски отличаются не сильно.
sigizmund
При помощи политик безопасности можно запретить sideloading и untrusted sources (точнее, девайс перейдет в out of compliance).
Bringoff
UPD: плацебо — это об антивирусах на android, что-то пропустил.