Comments 77
Для провижена айфоны до сих про требуют полного ресета устройства? С переходом на Apple Configurator 2 у нас сломалось накатывание профилей mobileconfig
Новый BYOD как раз про то, что на телефоне может быть две учетки iCloud и старую не нужно очищать. Я сам правда не видел как выглядит айось с двумя окружениями.
Пользуюсь Apple Configurator 2. Профили накатываются без проблем. Ресет требуется только для супервайза. Его почти не делаем, потому что устройства выдали ночальнегам. А они не хотят терять рекорды в злых птицах (
вирусы на телефонах
Страдальцы с Android как всегда страдают, пока владельцы iOS наслаждаются жизнью без заразы.
Если на одной платформе сосредоточено 99% мобильной малвари, то с ней явно что-то не так. И не нужно говорить, будто дело только в распространнености, как в случае с вирусами под macOS и Windows. Сейчас iOS занимает значительную долю рынка и это соблазнительная цель для мошенников. Просто архитектура iOS сделана лучше, как бы это не раздражало но с цифрами не поспоришь. Да, вы не может залить прошивку от васяна с 4pda, но зато ваши бабушки, родители и дети не подхватят вирус по ссылке из СМС, который украдет все деньги со счета сбербанка.
Больно смотреть как люди мучаются с приложением сбербанка со встроенным антивирусом, которое в фоне крутит свои процессы и разряжает батарейку.
но зато ваши бабушки, родители и дети не подхватят вирус по ссылке из СМСНо зато вы не владеете своим устройством. Вот бабушки пусть и пользуются, если им так лучше.
Ага, а пользователи андроид полновластные владельцы своих устройств.
Нет, не полновластные. Но андроид меньше напоминает золотую клетку. Файловый менеджер на iOS до недавнего времени был только после джейла. Да и новые Файлы дают посмотреть далеко не все.
Пользователям Android, хотя бы, никто не мешает установить чистый AOSP в виде GSI-образа, не пользоваться сервисами Google и иметь права суперпользователя.
Пусть таких пользователей мало (и я даже к ним не принадлежу, потому что с сервисами Google удобненько), но возможность есть.
Пусть таких пользователей мало (и я даже к ним не принадлежу, потому что с сервисами Google удобненько), но возможность есть.
Спасибо за информацию.
Только непонятно, почему некоторые энтузиасты устанавливают некую LineAgeOS (на хабре, кстати, было пару статей на эту тему) вместо предложенного вам выше способа?
Потому что AOSP — открытая ОСь от гугла, которая имеет сборки для гугловских смартфонов (pixel, nexus).
Lineage построена на базе AOSP, с добавленными своими интерфейсными фичами, поддерживается сообществом и имеет сборки под сотни моделей телефонов.
Так что, при всём желании поставить AOSP не на pixel — либо допиливать самому под свой телефон, либо взять LineageOS.
Lineage построена на базе AOSP, с добавленными своими интерфейсными фичами, поддерживается сообществом и имеет сборки под сотни моделей телефонов.
Так что, при всём желании поставить AOSP не на pixel — либо допиливать самому под свой телефон, либо взять LineageOS.
Это вопрос вкусовых предпочтений.
Кто хочет максимально чистый Android (AOSP) — шьёт универсальный образ, собранный и регулярно обновляемый энтузиастами. Обновлений «по воздуху» нет, при желании обновиться — шить более свежий.
LineageOS это AOSP с дополнительными фишками, несколько иными приложениями по умолчанию и т.д. Если смартфон поддерживается в LineageOS официально, то обновления прилетают «по воздуху», и в целом всё работает стабильно, потому что есть ответственный человек, который следит, чтобы LineageOS нормально работала на конкретном аппарате.
Если официальной поддержки нет, то обычно есть сборки от энтузиастов, которые могут появляться нерегулярно и шьются вручную.
Ну и кроме LineageOS есть ещё масса кастомных прошивок, всё вышенаписанное к ним тоже применимо. Просто LineageOS удобнее всего, если ваша цель — максимум приватности.
Кто хочет максимально чистый Android (AOSP) — шьёт универсальный образ, собранный и регулярно обновляемый энтузиастами. Обновлений «по воздуху» нет, при желании обновиться — шить более свежий.
LineageOS это AOSP с дополнительными фишками, несколько иными приложениями по умолчанию и т.д. Если смартфон поддерживается в LineageOS официально, то обновления прилетают «по воздуху», и в целом всё работает стабильно, потому что есть ответственный человек, который следит, чтобы LineageOS нормально работала на конкретном аппарате.
Если официальной поддержки нет, то обычно есть сборки от энтузиастов, которые могут появляться нерегулярно и шьются вручную.
Ну и кроме LineageOS есть ещё масса кастомных прошивок, всё вышенаписанное к ним тоже применимо. Просто LineageOS удобнее всего, если ваша цель — максимум приватности.
вирус по ссылке из СМС
Что не помешало Безосу получить взлом своего iPhone через WhatsApp.
Так что дырявого ПО везде хватает. А вот повышенная защищенность устройства вызывает ложное ощущение, что его нельзя взломать.
По моему вся безопасность iOS в закрытом коде и не возможности погонять бинарники приложений через какую — нибудь IDA. Такое Security through obscurity.
ну не стоит забывать централизованное исправление ошибок с безопасностью, когда большинство устройств поддерживается с актуальной версией системы, и даже для устаревших версий выпускаются патчи. а не так, когда есть целый зоопарк производителей и версий андроида, при этом считается нормально не выпускать даже критические патчи на устройства, которое все еще используются. что позволяет использовать давно закрытые в актуальных версиях баги.
Google тоже начинает догонять. Ещё с 10го андроида анонсировали, что часть критичных обновлений будет доставляться через google play, минуя производителей железок. Всяко быстрее будет.
Но и яблоки в этом плане не идеальны. Старые модели искусственно замедляли? Замедляли. iPhone 5S получит iOS 14? Не получит. Да, лучше, чем на андроидах, где даже в среднем ценовом сегменте срок поддержки год-два. Но всё равно с косяками.
Но и яблоки в этом плане не идеальны. Старые модели искусственно замедляли? Замедляли. iPhone 5S получит iOS 14? Не получит. Да, лучше, чем на андроидах, где даже в среднем ценовом сегменте срок поддержки год-два. Но всё равно с косяками.
«Замедление» отключается в настройках. А сделано оно для продления срока службы аккумулятора. Полезная, но полностью опциональная фича, а не «косяк»
iPhone 5S был выпущен в 2013 году, сейчас 2020й и он до-сих-пор поддерживает актуальную OS (не смотря на то, что iOS за это время претерпела очень много изменений), что просто удивительно. Назвать прекращение поддержки косяком, в такой ситуации, язык не поворачивается
да я не против андроида как такового, только вот получается что только в 10 версии добавилось возможность обновления напрямую. Когда в эппл в 6 версии можно было настраивать доступы, в андроиде это только через 3 года появилось. А учитывая политику производителей, можно пользоваться телефоном 2016 года, на который до сих пор доступен только 5 андроид. И это Самсунг. А есть еще целый зоопарк китайских устройств, на которые вообще никаких новых прошивок не выпускалось. И получается, что на эппл можно установить 6 версию на телефон 2009 года, и нельзя установить 6 версию андроида на телефон 2016 года.
Так что я не говорю что андроид хуже, но вот некоторые вещи он научился только сейчас. И это как раз по теме. Когда есть возможность запретить доступы для установленных приложений. Иногда достаточно отобрать у них доступ к камере, файлам, геолокации, и они продолжают работать, потому что это необязательные вещи.
Так что я не говорю что андроид хуже, но вот некоторые вещи он научился только сейчас. И это как раз по теме. Когда есть возможность запретить доступы для установленных приложений. Иногда достаточно отобрать у них доступ к камере, файлам, геолокации, и они продолжают работать, потому что это необязательные вещи.
Google тоже начинает догонять. Ещё с 10го андроида анонсировали, что часть критичных обновлений будет доставляться через google play, минуя производителей железокНе очень представляю, как это будет работать. linux ядро — скомпиленный монолит, его не будет в Google Play под все модели. framework, интерфейс (шторка и рабочий стол) крупные компании (Samsung, HTC, Xiaomi) допиливают под себя так, что патчи не встанут, а зачастую эти компоненты ещё и обфусцированы.
Есть ещё Project Treble, позволяющий накатывать образ ОСи (в идеале — от google) на телефон, опираясь на стандартизированный HAL. Но с ним есть большое «но» — компании не заинтересованы в поддержке этой технологии. Им выгодно, чтобы телефон по версии Android устаревал за 2 года, и пользователь покупал новый.
Кроме того, даже если телефон поддерживает Treble, установка google-образа — удел гиков, да ещё при этом теряется фирменный софт (маркет самсунга, хорошая поддержка 108-мегапиксельных камер у всяких флагманов, активные грани, реагирующие на нажатие и фирменные технологии улучшения звука у HTC). Оно пользователям надо, терять в фичах ради самой новой версии Android?
Я про Project Mainline. Краткий обзор был на хабре с год назад. В Android 11 число модулей ОС, которые можно обновить с помощью Google Play ещё увеличили. Понятно, что крупные вендоры допиливают Андроид как могут, но при достаточно жёсткой политике Гугла эти модули могут заставлять не менять. Иначе никаких тебе гугло-сервисов.
Плюс невозможность установить и запустить неподписанное приложение. Заставлять потенциальную жертву ставить себе сертификат — для штучных атак можно, но задача нетривиальная. Для массовой раздачи троянов метод не годится.
Разумеется, в самой системе проверки подписи тоже могут быть уязвимости и что-то может завестись и так. Но пока о сколько-нибудь массовых историях нигде ни слова не было.
Разумеется, в самой системе проверки подписи тоже могут быть уязвимости и что-то может завестись и так. Но пока о сколько-нибудь массовых историях нигде ни слова не было.
Это почему невозможно погонять?
Ну да — нужен хоть как то работающий джейлбрейк (Ну так есть для iOS 13 даже, не для всех устройств)(это даст возможность сдампить приложение, также как это делается для пиратских задач) и желательно не только IDA но и HexRays с поддержкой ARM а не только x86.
Ну да — нужен хоть как то работающий джейлбрейк (Ну так есть для iOS 13 даже, не для всех устройств)(это даст возможность сдампить приложение, также как это делается для пиратских задач) и желательно не только IDA но и HexRays с поддержкой ARM а не только x86.
Я всю жизнь пользуюсь Android, но вынужден выступить в защиту Apple. В iOS реализовано множество механизмов, отсутствующих в Android.
* упомянутое уведомление о доступе к буферу обмена, что уже побуждает производителей ПО шевелиться
* Sign with Apple — не то, чтобы напрямую относится к безопасности, но позволяет не светить свою почту направо и налево
* надёжная защита от сброса, а не FRP в Android (на 4PDA собрана впечатляющее количество способов его обойти, на YouTube ещё больше — это следствие того, что на каждом втором устройстве работает кастомизированный производителем Android, и каждый второй производитель привносит свои косяки, вдобавок довольно быстро забивая на обновления). У Apple же залоченное устройство останется таковым навечно, если только бывший владелец не лоханётся и его обманом не заставят снять блокировку.
* USB Restricted Mode, который постоянно улучшают
* вся работа с биометрией в iOS велась на выделенном сопроцессоре (т.е. образцы отпечатков пальцев и прочее не покидали сопроцессор) ещё во времена Android 4, когда незабвенная HTC хранила отпечатки пальцев в формате BMP во внутренней памяти (!), а остальные вендоры лепили костыли.
Это только то, что вспомнилось навскидку
В плане безопасности iOS на шаг впереди, не в последнюю очередь благодаря тому, что весь спектр железа, на котором она работает, заранее известен и сравнительно невелик, а производитель железа и софта — одна и та же компания.
Да, что-то из перечисленного можно прикрутить к Android, только это будут примотанные изолентой грубые костыли типа полного отключения USB-порта.
* упомянутое уведомление о доступе к буферу обмена, что уже побуждает производителей ПО шевелиться
* Sign with Apple — не то, чтобы напрямую относится к безопасности, но позволяет не светить свою почту направо и налево
* надёжная защита от сброса, а не FRP в Android (на 4PDA собрана впечатляющее количество способов его обойти, на YouTube ещё больше — это следствие того, что на каждом втором устройстве работает кастомизированный производителем Android, и каждый второй производитель привносит свои косяки, вдобавок довольно быстро забивая на обновления). У Apple же залоченное устройство останется таковым навечно, если только бывший владелец не лоханётся и его обманом не заставят снять блокировку.
* USB Restricted Mode, который постоянно улучшают
* вся работа с биометрией в iOS велась на выделенном сопроцессоре (т.е. образцы отпечатков пальцев и прочее не покидали сопроцессор) ещё во времена Android 4, когда незабвенная HTC хранила отпечатки пальцев в формате BMP во внутренней памяти (!), а остальные вендоры лепили костыли.
Это только то, что вспомнилось навскидку
В плане безопасности iOS на шаг впереди, не в последнюю очередь благодаря тому, что весь спектр железа, на котором она работает, заранее известен и сравнительно невелик, а производитель железа и софта — одна и та же компания.
Да, что-то из перечисленного можно прикрутить к Android, только это будут примотанные изолентой грубые костыли типа полного отключения USB-порта.
Вы путаете дорогую целевую (APT) атаку и массовые трояны.
Больно смотреть как люди мучаются с приложением сбербанка со встроенным антивирусом, которое в фоне крутит свои процессы и разряжает батарейку.
Для тех кто страдает от такого, советую засунуть сбербанк и прочие сомнительные, но нужные приложения в отдельный профиль. Запуск простым кликом по серой иконке приложения и вводом пина, отключение кликом по специальной кнопке в шторке. Боли нет, зависимость есть.
Поясните, пожалуйста, что это за отдельный профиль? Профиль именно Android или какая-то специфичная для конкретного вендора история?
«Рабочий профиль», появился с 5 версии Android. Что-то вроде отдельно контейнера со своими контактами, файлами, приложениями. В том числе и gapps там живут независимо от основного профиля.
На своём самсунге я управляю им с помощью Shelter
На своём самсунге я управляю им с помощью Shelter
Китайские смартфоны на MIUI отлично убивают всё, что висит в фоне и чему явно в настройках не указали отключить улучшенное энергосбережение. Так что «антивирус» сбербанка не особо то мешается.
Это так не работает. Клиент сбербанка на китайцах сделает всё возможное, чтобы ему отключили бьющее по работе в фоне энергосбережение. Вплоть до того, что будет заставлять пользователя каждый раз открывать приложение, чтобы проверить счёт. Нет работы в фоне — нет уведомлений о транзакциях. Вот и приходится терпеть антивирь (
Лучше не ставить мобильные приложения банков.
Всё то же самое можно сделать с телефона через сайт (пусть это и не так удобно).
Зато не отдаёшь свои контакты, фотографии, образцы голоса и видео (доступ к микрофону и камере есть у таких приложение).
Оповещения о транзакциях — обычные СМС, ходят чётко, независимо от режимов энергосбережения.
Всё то же самое можно сделать с телефона через сайт (пусть это и не так удобно).
Зато не отдаёшь свои контакты, фотографии, образцы голоса и видео (доступ к микрофону и камере есть у таких приложение).
Оповещения о транзакциях — обычные СМС, ходят чётко, независимо от режимов энергосбережения.
UFO just landed and posted this here
Я юзер андроида, начиная с 4.3 и до актуального 8.1
Вообще актуальный Андроид 10, а скоро уже будет 11.
Так же в домашнем парке несколько боевых машин под вин ХР и 7
Пора обновляться. Всё это уже снято с поддержки. Антивирус для форточек — обычное дело. Особенно на домашних ноутбуках, где пользователь имеет права админа. Правда иногда срабатывает на разного рода «таблетки», но это издержки производства. Если с момента покупки компа на XP на нём не было антивируса, то вы скорее всего уже часть ботнета или на вашей видеокарте уже майнят биткойны. Конечно, если вы заходили в интернет.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Блин, уже не все плеера на роботе6 стартуют.
я со своим робот5 как из бактериальнлй эпохи, нужен плеер m4b с главами (чтобы за каждым разом не лезть куда-то глубоко, что бы не ломать пальцы в быстрых жестах) и оно прямо очень грустно.
я со своим робот5 как из бактериальнлй эпохи, нужен плеер m4b с главами (чтобы за каждым разом не лезть куда-то глубоко, что бы не ломать пальцы в быстрых жестах) и оно прямо очень грустно.
UFO just landed and posted this here
Воспроизводит, только как в vlc на андроиде докопаться до списка глав, я так и не нашёл.
deadBeef показывает список глав вместо плей листа, но — не хочет переключаться на следующую книгу, по завершению очередной книги.
deadBeef показывает список глав вместо плей листа, но — не хочет переключаться на следующую книгу, по завершению очередной книги.
UFO just landed and posted this here
А что можно взять?
Я одиночные записи держу в Opus.
Сейчас начали накапливаться хотелки, когда в сумме часов 30-80-150, с кучей подвопросов. Держать в каталоге — мороки много, один файл — навигация напрягает.
Потыкал в яндексе, на тему файлов со встроенной навигацией — как бы ничего толкового не нашлось.
Я одиночные записи держу в Opus.
Сейчас начали накапливаться хотелки, когда в сумме часов 30-80-150, с кучей подвопросов. Держать в каталоге — мороки много, один файл — навигация напрягает.
Потыкал в яндексе, на тему файлов со встроенной навигацией — как бы ничего толкового не нашлось.
Сейчас iOS занимает значительную долю рынка и это соблазнительная цель для мошенников.
В бабле — да. В штуках — нет. Эрго — мошенникам iOS неинтересна постольку, поскольку объемы инсталляций будут ожидаемо меньше.
Просто архитектура iOS сделана лучше
Зная как устроены обе — не могу согласиться. Android архитектурно почище и логичнее.
дети не подхватят вирус по ссылке из СМС, который украдет все деньги со счета сбербанка.
Городской миф. Большая часть «вирусов» — это социнженерия с использованием необразованности прокладки между стулом и экраном.
А вот после checkra1n хвастаться «защищенностью» айоси некомильфо как-то.
Ах, да. В iOS нету локального API для инициации вайпа, например, что на мой взгляд есть недоделка по сравнению с Android.
но зато ваши бабушки, родители и дети не подхватят вирус по ссылке из СМС
Купить бабушке, родителям и детям по айфону… Лучше уж пусть вирусы хватают.
Как сказать… Когда бабушка потеряет 400 тыс. рублей накоплений всей её жизни из-за троянского APK, поставленного с маркета по ссылке с сомнительного сайта, тогда и посмотрим, что лучше.
UFO just landed and posted this here
Допустим, это апк-кейлогер. С помощью API для слепоглухонемых считывает всё, что делает бабка на телефоне. В этом случае потенциально может увести учётку от онлайн сберкнижки. Но, IMHO, ни одна бабка себе банк-клиент на телефон не поставит. Ровно потому что не доверяет ничему, кроме того, что хранится на своей антресоли. И ни один мальчонка с айпадом в отделении банка, куда ей капает пенсия, её в этом не переубедит.
Но, IMHO, ни одна бабка себе банк-клиент на телефон не поставитВидел немало пожилых людей (60+ лет), у которых на телефоне вайбер, сбербанк, и т.п., они хотят пользоваться всеми технологиями, но не шарят в безопасности.
И ни один мальчонка с айпадом в отделении банка, куда ей капает пенсия, её в этом не переубедитА они в сбере и не переубеждают. Они говорят: дайте свой смартфон, я вам всё сейчас настрою. И приложение поставят, и авто-платежи включат. У них похоже KPI на это, поэтому впаривают чуть ли не обманом.
В этих мобильных приложениях могут содержаться чувствительные данные, из-за которых эти приложения не размещают в публичном магазине. Передача таких дистрибутивов производителю антивируса представляется некорректной с точки зрения безопасности.Но ведь можно в самом дистрибутиве не хранить чувствительных данных, а скачивать их в приватную папку приложения после того, как юзер залогинится на сервер компании.
А где же Аврора? У нас же есть отечественное, своё. Вон на прошлой неделе для неё антивирус слепили. Вирусов правда нет, ну и ладно. Карго-культ. Написал антивирус, скоро и вирусы появятся.
Любит наш народ всякое…
Почему если отечественное, то сразу оно? Если не вкладывать деньги в развитие своей электроники и ПО, большой брат так и будет диктовать нам свою волю, манипулируя нашими данными и геолокацией. Стоит только ввести что-нибудь в браузере, сразу куча контекстной рекламы. Даже короновирус в своих интересах поимели. Встроили Contact Tracing API и в iOS, и в Android. Теперь за всеми будут следить.
Большой брат так и будет диктовать нам свою волю, манипулируя нашими данными и геолокацией
У каждого телеком оператора данных стоит СОРМ, на котором хранятся все ваши данные. Какой большой брат вам ближе? )
Встроили Contact Tracing API и в iOS, и в Android. Теперь за всеми будут следить.
А то раньше не следили? Любой сотовый оператор знает где вы с точностью до размещения сотовых вышек. Ваш навигатор сообщает Гуглу или Яндексу где и когда вы были. Приватность в современном мире — миф.
А вообще перед тем, как такое писать, хотя бы матчасть бы изучили. Приложений, использующих Contact Tracing API в каждой стране может быть штучное количество. Приложениям, имеющим доступ к Contact Tracing API, запрещён доступ к геолокации. Это вам не Социальный мониторинг.
Встроили Contact Tracing API и в iOS, и в Android. Теперь за всеми будут следить.
Почитайте обзоры как этот API работает. Его для не заявленных целей использовать не получится.
Производителю платформы другими способами следить гораздо проще и получатся те же данные (ну кроме сближения с другими пользователями на малую дистанцию, GPS для этого слишком неточен).
То есть тот факт, что теперь телефоны на Android и iOS собирают данные о том, какие устройства и когда были рядом, никого не смущает? Не нужен ни GPS, ни СОРМ, просто устройства и их большие хозяева всегда знают кто где был. Никто никому ничего.
Откровенно говоря, доступность куков на сайтах меня смущает больше. Но, как пишет у себя на сайте А.Лебедев, без них весь интернет работает через жору.
Не смущает потому что это не так. Если система вообще реализована как заявлено.
Смотрим Apple'овский FAQ covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.1.pdf
(и ссылки на детали реализации на www.apple.com/covid19/contacttracing )
Смотрим Apple'овский FAQ covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.1.pdf
(и ссылки на детали реализации на www.apple.com/covid19/contacttracing )
То есть тот факт, что теперь телефоны на Android и iOS собирают данные о том, какие устройства и когда были рядом, никого не смущает?А вас что смущает? Наличие API не означает наличие приложений. Приложения вы можете ставить или не ставить. А для безопасности ходить с всегда выключенными WiFi и BT вне дома, т.к. по работающим передатчикам этих протоколов вас могут отследить, например в торговых центрах, независимо от новых страшных API.
Если абстрагироваться от требований регуляторов и маркетинга, то корпоративные мобильные антивирусы нужны только на Android устройствах, где пользователям доступен Google Play и установка программ из сторонних источников. В остальных случаях эффективность использования антивирусов не более чем плацебо.
Покупка антивирусов для безов стала привычкой. Есть endpoint, должен быть антивирус. Без вариантов. Пусть он плацебо, зато надёжно защищает пятую точку в случае реальной атаки. Антивирус есть? Есть. Значит виноваты пользователи и айтишники. Казнить нельзя помиловать.
Недавно обсуждалась уязвимость CVE-2020-8899. Утверждалось, что с её помощью можно получить доступ к консоли мобильных устройств Samsung с помощью заражённой картинки, отправленной по электронной почте, мессенджеру или MMS… Хотя по факту, атаковать устройства возможно только с помощью MMS. А для успешной атаки нужно отправить от 75 до 450 (!) сообщений.
То же самое. Есть CVE, значит устройство можно взломать. Пофигу, что для эксплуатации нужно over-до-фига сообщений. Не важно, что в результате атаки удалось только запустить калькулятор (см. видео эксплоита). Важно, что есть опасность (пусть и вымышленная), которой продавцы пустышек могут пугать младенцев бабайкой. Агу-абырвалг-купи средство защиты.
Чаще всего их устанавливают с помощью sideloading, adb или сторонних магазинов, которые должны быть запрещены на мобильных устройствах с доступом в корпоративную сеть. Остаётся два варианта попадания malware – из Google Play или из UEM.
Ага, давайте запретим на устройстве вообще всё. Накупим для него антивирей, UEMов, VPNов и прочей нечисти. В результате у пользователя вместо нормального устройства будет золотой калькулятор по цене малолитражки. Есть маркет от Хуавея, есть от Самсунга, есть от Безоса. Ничем не хуже GPlay, да и к разработчикам более лояльны. Не ровен час, Телега только в них доступна будет.
Давайте не путать корпоративное и личное использование. Хотите пользоваться Windows XP и не ставить антивирус — пожалуйста. Тут как с прививками. Не хотите превентивно, надейтесь, что пронесёт или болейте.
Простой пример. Есть корпоративный ноутбук. Софт на нём всегда дороже, чем сама железка. И за этот софт ещё нужно ежегодно платить техподдержку, обучать персонал его использовать и сопровождать. На корпоративном ноутбуке никто не жалуется, что не может сам себе приложение поставить. Дали устройство для работы — пользуйся для работы. Просто мы привыкли, что телефон — это «моя прелесть» и не хотим ни в чём себя ограничивать. Но компании, которая этот телефон вам купила, вправе защищать свои активы. Правда делать это надо с умом, а не по принципу «куплю то же, что для ноутбука».
Простой пример. Есть корпоративный ноутбук. Софт на нём всегда дороже, чем сама железка. И за этот софт ещё нужно ежегодно платить техподдержку, обучать персонал его использовать и сопровождать. На корпоративном ноутбуке никто не жалуется, что не может сам себе приложение поставить. Дали устройство для работы — пользуйся для работы. Просто мы привыкли, что телефон — это «моя прелесть» и не хотим ни в чём себя ограничивать. Но компании, которая этот телефон вам купила, вправе защищать свои активы. Правда делать это надо с умом, а не по принципу «куплю то же, что для ноутбука».
Мы говорим про выданный компанией телефон или про купленный пользователем?
Если второе — какие такие активы? Компания хочет чтобы была работа с ее ресурсами в том числе НЕ с рабочего места и в НЕ рабочее время? Пусть ищет решение которое не будет слишком уж мешать пользователям.
Если первое — ну пусть. Только зачем пользователю ЭТОТ телефон как основной использовать и таскать с собой везде где основной используется?
p.s.
Сейчас работаю на контору где требования по безопасности все же есть.
Доступ к половине инфраструктуры только через VPN (просто VPN, без проверок 'а тот ли у пользователя антивирус'). Доступ с мобильных устройств вообще официально невозможно поскольку токен для VPN не воткуть. А вот ко второй половине — просто логин и пароль. Office365, Zoom, WebEx, Skype, Telegram используются активно.
Если второе — какие такие активы? Компания хочет чтобы была работа с ее ресурсами в том числе НЕ с рабочего места и в НЕ рабочее время? Пусть ищет решение которое не будет слишком уж мешать пользователям.
Если первое — ну пусть. Только зачем пользователю ЭТОТ телефон как основной использовать и таскать с собой везде где основной используется?
p.s.
Сейчас работаю на контору где требования по безопасности все же есть.
Доступ к половине инфраструктуры только через VPN (просто VPN, без проверок 'а тот ли у пользователя антивирус'). Доступ с мобильных устройств вообще официально невозможно поскольку токен для VPN не воткуть. А вот ко второй половине — просто логин и пароль. Office365, Zoom, WebEx, Skype, Telegram используются активно.
Я за разумность безопасности. Если устройство корпоративное, то работодатель вправе запретить на нём, что захочет. Если он дурак или на плече видны мозоли от погон, то на устройствах запретят всё, что только можно, будут следить за локацией, пытаться читать SMS с корпоративных SIM. Короче, мрак и ужас, от которого сотрудники или бегут, или после работы выключают телефон и оставляют в офисе.
На личном телефоне врубать невероятные запреты — вообще безумие. Но поставить VPN и какой-нибудь MDM для того, чтобы запретить установку всякого г-на (sideloding) и раскатать инхаусные приложухи вполне можно. У нас слепили какое-то инхаусное приложение для доступа к СЭД. Убогое и кривое. В маркет, видимо, положить стыдно. Пока ставим руками. Надоело. Задумались над MDMкой. В вашей конторе её случайно нету?
На личном телефоне врубать невероятные запреты — вообще безумие. Но поставить VPN и какой-нибудь MDM для того, чтобы запретить установку всякого г-на (sideloding) и раскатать инхаусные приложухи вполне можно. У нас слепили какое-то инхаусное приложение для доступа к СЭД. Убогое и кривое. В маркет, видимо, положить стыдно. Пока ставим руками. Надоело. Задумались над MDMкой. В вашей конторе её случайно нету?
Но поставить VPN и какой-нибудь MDM для того, чтобы запретить установку всякого г-на (sideloding) и раскатать инхаусные приложухи вполне можно.
F-Droid и приложения из него — г-но? Adguard тоже?
В вашей конторе её случайно нету?
Нет. (Если не считать попыток Office365 получить права на в том числе вайп, при этом что интересно редирект на другую почту вполне себе работает).
Но возможно тут еще важно:
— особенности организационной структуры (не могу сказать подробнее)
— особенности внутренней политики (у меня и большинства других разработчиков нет доступа к критически важной информации, вроде полных клиентских данных, а тем кому это надо, для этих задач есть схема с VPN + терминальный сервер)
— ни в каком из подписанных договоров НЕ сказано что у меня вообще должен быть смартфон. А вот в правилах про 'быть доступным' прямо указано что касается только рабочего времени.
F-Droid и приложения из него — г-но? Adguard тоже?
Нет, но запретить sideloading, к сожалению, можно только вместе с ними (
Нет. (Если не считать попыток Office365 получить права на в том числе вайп, при этом что интересно редирект на другую почту вполне себе работает).
Можете подробнее про редирект на другую почту? Gmail при настройке Exchange учётки безальтернативно требует прав администратора устройства и может как вайпнуть, так и потребовать наличия пароля. Это можно как-то обойти?
Есть веб интерфейс Outlook'а в Office365. Там просто беру и ставлю что всю входящую почту посылать на xxx.yyy@zzz.com. Претензий нет. zzz.com куплен на меня, почтовый сервер там — часть платного G Suite.
Кстати c правами — Outlook в данном случае гадких прав он требует на старых андроидах (на Android 10 у меня не требовал). Возможно тут поможет полноценная настройка Work Profile (ну или «защищенной папки» на Samsung'ах) но что-то пробовать не очень хочется.
Кстати c правами — Outlook в данном случае гадких прав он требует на старых андроидах (на Android 10 у меня не требовал). Возможно тут поможет полноценная настройка Work Profile (ну или «защищенной папки» на Samsung'ах) но что-то пробовать не очень хочется.
Это можно как-то обойти?Да, это можно обойти. Я на своём телефоне декомпилил mail-клиент (не gmail, а от производителя телефона), и вырезал все эти вайпы, запросы и проверки прав девайс-админа и применение политик (такие, например, как запрет камеры или требования по сложности пароля).
Проще всего это сделать, тупо испортив строковую константу «Data» — это имя xml-ноды, в которой лежат политики. Например, меняешь на «Zata», и клиент скачивает политики, но парсер не находит ноду в xml.
Есть вариант найти альтернативный eas-клиент, который команду RemoteWipe трактует как очистку локальных данных ящика, а не всего девайса (сейчас не помню название приложение, но находил когда-то).
Мне на работе дали ноутбук для работы и ни в чём на нём не ограничивают. Смартфоном подключаюсь к почте без всяких VPN. Антивирус на ноуте поставили, но я был не против. Пока особо не мешает. На смартфон ничего не ставили, да я бы и не дал.
после коровы было дохренища темп-рут эксплоитоа, как общесистемных (последний — апрель этого года) так и специфичных для вендора (mtk-su был в паблике ГОД, прежде чем его нехотя признали. Что творится с куалкомм можно посмотреть в публичных бюллетенях)
Статья на самом деле очень поверхностная. Самый злой вирус корпоративного телефона как раз сисадмин. Я обошёл корпоративные политики и в свободное от работы время пользуюсь телефоном как личным. А на самом деле корпоративный телефон, судя по разрешениям, может подслушивать и подглядывать постоянно, о чем автор скромно умолчал и не предложил никаких мер. Позор тебе, автор.
Пользуюсь Android-смартфонами с 2009 года, iPhones совместно с Andro-смартами с 2017.
Ни разу антивирями не пользовался. Ставил, пробовал, мониторил и в тот же день удалял.
Всегда знал и знаю, лучший антивирус — разумность пользователя.
Спасибо за статью, но если позволите — ряд замечаний
Вечно этот бухгалтер. По статистике однако гораздо чаще открывают все подозрительное менеджер по покупкам-продаже и руководство. Именно устройства руководства зачастую источник заражений
Вот тут хотелось бы список. Далеко не все проводят аудит, аудит не цель антивируса, так как особого смысла в нем нет. Так как тот же рут нужен самому антивирусу, чтобы лечить системные области. Да, именно так. Антивирус в Андроид — не системное приложение, это обычная программа, без доступа к системным областям.
И пользователь будет ждать времени анализа?
Смысла в этом действии 0. Именно в Андроид трояны (вирусов там нет) или задерживают старт вредоносной работы чтобы обойти песочницы или вообще вредоносный функционал загружают с обновлениям
Предлагаемая работа по контрольным суммам это уже не антивирус, это функционал контроля приложений. В мире мобильных не востребован в силу крайне малого уровня продаж в корпоратив
Поведенческий анализ не требует ресурсов, это по сути контроль обращений к неким ресурсам системы. Проблема реализовать его в Андроид не в ресурсах системы скорее всего, а в том, что антивирус не системная программа. Ну и плюс эффективность песочниц именно для андроида вызываем сомнения
Новости об обнаружении в гугле плэй очередной пачки троянов выходят наверно раз в неделю
А вот смартфон бухгалтера
Вечно этот бухгалтер. По статистике однако гораздо чаще открывают все подозрительное менеджер по покупкам-продаже и руководство. Именно устройства руководства зачастую источник заражений
Большинство современных мобильных антивирусов
Вот тут хотелось бы список. Далеко не все проводят аудит, аудит не цель антивируса, так как особого смысла в нем нет. Так как тот же рут нужен самому антивирусу, чтобы лечить системные области. Да, именно так. Антивирус в Андроид — не системное приложение, это обычная программа, без доступа к системным областям.
• Если приложение неизвестно, передать его дистрибутив в глобальную базу для анализа и декомпиляции
И пользователь будет ждать времени анализа?
Смысла в этом действии 0. Именно в Андроид трояны (вирусов там нет) или задерживают старт вредоносной работы чтобы обойти песочницы или вообще вредоносный функционал загружают с обновлениям
Предлагаемая работа по контрольным суммам это уже не антивирус, это функционал контроля приложений. В мире мобильных не востребован в силу крайне малого уровня продаж в корпоратив
Больше всего опасений вызывает возможность передачи дистрибутивов программ с устройства на внешний сервер. Без этого нельзя реализовать заявляемый производителями антивирусов «поведенческий анализ», т.к. на устройстве нельзя запустить приложение в отдельной «песочнице» или произвести его декомпиляцию (насколько она эффективна при использовании обфускации – это отдельный сложный вопрос).
Поведенческий анализ не требует ресурсов, это по сути контроль обращений к неким ресурсам системы. Проблема реализовать его в Андроид не в ресурсах системы скорее всего, а в том, что антивирус не системная программа. Ну и плюс эффективность песочниц именно для андроида вызываем сомнения
Поэтому иногда в Google Play попадает malware, но всё-таки не часто
Новости об обнаружении в гугле плэй очередной пачки троянов выходят наверно раз в неделю
Sign up to leave a comment.
Мобильные антивирусы не работают