Мобильные антивирусы не работают


    TL;DR если на ваших корпоративных мобильных устройствах нужен антивирус, значит вы делаете все неправильно и антивирус вам не поможет.

    Этот пост — результат жарких споров на тему того, нужен ли на корпоративном мобильном телефоне антивирус, в каких случаях он работает, а в каких бесполезен. В статье разбираются модели угроз, от которых в теории должен защищать антивирус.

    Продавцам антивирусов часто удается убедить корпоративных клиентов, что антивирус сильно повысит их безопасность, но в большинстве случаев это иллюзорная защита, из-за которой только снижается бдительность как пользователей, так и администраторов.

    Правильная корпоративная инфраструктура


    Когда в компании десятки или даже тысячи сотрудников, настраивать каждое пользовательское устройство вручную невозможно. Настройки каждый день могут изменяться, приходят новые сотрудники, у них ломаются или теряются мобильные телефоны и ноутбуки. В итоге вся работа админов состояла бы в ежедневном разворачивании новых настроек на устройствах сотрудников.

    На десктопных компьютерах эту задачу начали решать давно. В мире Windows, обычно, такое управление происходит с помощью Active Directory, централизованных систем аутентификации (Single Sign In) и т.д. Но теперь у всех сотрудников к компьютерам добавились смартфоны, на которых происходит значительная часть рабочих процессов и хранятся важные данные. Microsoft пытались объединить свои телефоны на Windows Phone в единую экосистему с Windows, но эта идея умерла вместе с официальной смертью Windows Phone. Поэтому в корпоративной среде в любом случае приходится выбирать между Android и iOS.

    Сейчас в корпоративной среде, для управления устройствами сотрудников, в моде концепция UEM (Unified endpoint management). Это централизованная система управления мобильными устройствами и десктопными компьютерами.

    Централизованное управление пользовательскими устройствами (Unified endpoint management)

    Администратор системы UEM может устанавливать разные политики для пользовательских устройств. Например, разрешить пользователю больший или меньший контроль над устройством, установки приложений из сторонних источников и т.д.

    Что может делать UEM:

    Управлять всеми настройками — администратор может полностью запретить пользователю изменять настройки на устройстве и изменять их удаленно.

    Контролировать ПО на устройстве — разрешать возможность установки программ на устройстве и автоматически устанавливать программы без ведома пользователя. Также администратор может запретить или разрешить установку программ из магазина приложений или из недоверенных источников (из файлов APK в случае Android).

    Удаленная блокировка — в случае, если телефон потерян, администратор может заблокировать устройство или очистить данные. Некоторые системы также позволяют задать автоматическое удаление данных, если телефон не выходил на связь с сервером больше N часов, чтобы исключить возможность попыток оффлайн взлома, когда атакующие успели вытащить SIM-карту до того, как с сервера была послана команда очистки данных.

    Собирать статистику — отслеживать активность пользователя, время использования приложений, местоположение, уровень заряда батареи и т.д.

    Какие бывают UEM


    Есть два принципиально разных подхода для централизованного управления смартфонами сотрудников: в одном случае компания закупает для сотрудников устройства одного производителя и обычно выбирает систему управления от того же поставщика. В другом случае сотрудники используют свои личные устройства для работы, и тут начинается зоопарк из операционных систем, версий и платформ.

    BYOD (Bring your own device, Принеси свое устройство) —концепция, в которой сотрудники используют для работы свои личные устройства и учетные записи. Некоторые системы централизованного управления позволяют добавить вторую рабочую учетную запись и полностью разделить данные на личные и рабочие.



    Apple Business Manager — родная система централизованного управления от Apple. Умеет управлять только устройствами Apple, компьютерами с macOS и телефонами на iOS. Поддерживает BYOD, создается второе изолированное окружение с другой учетной записью iCloud.



    Google Cloud Endpoint Management — позволяет управлять телефонами на Android и Apple iOS, а также десктопами на Windows 10. Заявляется поддержка BYOD.


    Samsung Knox UEM — поддерживает только мобильные устройства Samsung. При этом сходу можно воспользоваться только Samsung Mobile Management.

    На самом деле поставщиков UEM существует сильно больше, но мы не будем разбирать их всех в рамках этой статьи. Главное, что нужно иметь в виду, что такие системы уже существуют и позволяют администратору сконфигурировать пользовательские устройства адекватно существующей модели угроз.

    Модель угроз


    Прежде чем выбирать инструменты защиты, нужно понять от чего мы защищаемся, что самое страшное может случиться в нашем конкретном случае. Условно говоря: наше туловище легко уязвимо для пули и даже для вилки с гвоздем, но мы же не надеваем бронежилет при выходе из дома. Потому в нашу модель угроз не входит опасность быть застреленным по пути на работу, хотя статистически это не так уж невероятно. При этом в определенных условиях ношение бронежилета вполне оправдано.

    В разных компаниях модели угроз различаются. Возьмем, допустим, смартфон курьера, который едет доставлять посылку клиенту. В его смартфоне есть только адрес текущей доставки и маршрут на карте. Самое страшное, что может случится с его данными, это утечка адресов доставки посылок.

    А вот смартфон бухгалтера. У него есть доступ в корпоративную сеть через VPN, установлено приложение корпоративного клиент-банка, хранятся документы с ценной информацией. Очевидно, что ценность данных на этих двух устройствах значительно различается и защищать их следует по-разному.

    Антивирус нас спасет?


    К сожалению, за маркетинговыми слоганами теряется реальный смысл задач, которые выполняет антивирус на мобильном устройстве. Попробуем разобраться детально, что делает антивирус на телефоне.

    Аудит безопасности

    Большинство современных мобильных антивирусов выполняет аудит настроек безопасности на устройстве. Иногда такой аудит называют «проверкой репутации устройства». Антивирусы считают устройство безопасным, если выполняются четыре условия:

    • Устройство не взломано (root, jailbreak).
    • На устройстве настроен пароль.
    • На устройстве не разрешена отладка по USB.
    • На устройстве не разрешена установка приложений из недоверенных источников (sideloading).

    Если в результате проверки устройство признано небезопасным, антивирус уведомит об этом владельца и предложит отключить «опасный» функционал или вернуть заводскую прошивку в случае наличия признаков root или jailbreak.

    По корпоративным обычаям недостаточно только уведомить пользователя. Необходимо исключить небезопасные конфигурации. Для этого с помощью UEM-системы нужно настроить на мобильных устройствах политики безопасности. А в случае обнаружения root / jailbreak надо стремительно удалять с устройства корпоративные данные и блокировать его доступ в корпоративную сеть. И это тоже возможно с помощью UEM. И только после этих процедур можно считать мобильное устройство безопасным.

    Поиск и удаление вирусов

    Вопреки расхожему мнению, что для iOS не существует вирусов, это неправда. В дикой природе до сих пор распространены эксплойты для старых версий iOS, которые заражают устройства через эксплуатацию уязвимостей в браузере. При этом, из-за архитектуры iOS, разработка антивирусов для этой платформы невозможна. Основная причина — приложения не могут получить доступ к списку установленных приложений и имеют много ограничений при доступе к файлам. Список установленных iOS-приложений может получить только UEM, но даже UEM не может получить доступ к файлам.

    С Android ситуация иная. Приложения могут получить информацию об установленных на устройстве приложениях. Они могут даже получить доступ к их дистрибутивам (например, Apk Extractor и его аналоги). Android-приложения также имеют возможность доступа к файлам (например, Total Commander и др.). Android-приложения возможно декомпилировать.

    С такими возможностями логичным выглядит такой антивирусный алгоритм:

    • Проверка приложений
    • Получить список установленных приложений и контрольные суммы (КС) их дистрибутивов.
    • Проверить приложения и их КС сначала в локальной, а затем в глобальной базе.
    • Если приложение неизвестно, передать его дистрибутив в глобальную базу для анализа и декомпиляции.

    • Проверка файлов, поиск вирусных сигнатур
    • Проверить КС файлов в локальной, затем в глобальной базе.
    • Проверить наличие в файлах небезопасного содержимого (скриптов, эксплоитов и т.д.) по локальной, а затем глобальной базе.
    • Если обнаружено malware, сообщить пользователю и/или заблокировать доступ пользователя к malware и/или передать информацию в UEM. Передавать информацию в UEM необходимо, потому что антивирус не может самостоятельно удалить malware с устройства.

    Больше всего опасений вызывает возможность передачи дистрибутивов программ с устройства на внешний сервер. Без этого нельзя реализовать заявляемый производителями антивирусов «поведенческий анализ», т.к. на устройстве нельзя запустить приложение в отдельной «песочнице» или произвести его декомпиляцию (насколько она эффективна при использовании обфускации – это отдельный сложный вопрос). С другой стороны, на мобильных устройствах сотрудников могут быть установлены корпоративные приложения, которые неизвестны антивирусу, потому что их нет в Google Play. В этих мобильных приложениях могут содержаться чувствительные данные, из-за которых эти приложения не размещают в публичном магазине. Передача таких дистрибутивов производителю антивируса представляется некорректной с точки зрения безопасности. Имеет смысл добавлять их в исключения, но о наличии подобного механизма пока мне неизвестно.

    Malware без привилегий root может


    1. Нарисовать поверх приложения своё невидимое окно или внедрить свою клавиатуру, чтобы копировать вводимые пользователем данные – параметры учётных записей, банковских карт и т.д. Недавний пример – уязвимость CVE-2020-0096, с помощью которой возможно подменить активный экран приложения и тем самым получить доступ к вводимым пользователем данным. Для пользователя это означает возможность кражи учётной записи Google с доступом к резервной копии устройства и данным банковских карт. Для организации в свою очередь важно не потерять свои данные. Если данные находятся в приватной памяти приложения и не содержатся в резервной копии Google, то malware не сможет получить к ним доступ.

    2. Получить доступ к данным в публичных каталогах – загрузки, документы, галерея. В этих каталогах не рекомендуется хранить имеющую ценность для компании информацию, потому что к ним может получить доступ любое приложение. Да и сам пользователь всегда сможет поделиться конфиденциальным документом с помощью любого доступного приложения.

    3. Надоедать пользователю рекламой, майнить биткойны, быть частью ботнета и т.д. Это может негативно сказаться на работоспособности пользователя и/или устройства, но не станет угрозой для корпоративных данных.

    Malware с привилегиями root потенциально могут все, что угодно. Встречаются они редко, потому что взлом современных Android-устройств с помощью приложения практически невозможен. Последний раз подобная уязвимость была обнаружена в 2016 году. Это нашумевший Dirty COW, которому был присвоен номер CVE-2016-5195. Ключевое здесь то, что при обнаружении признаков взлома UEM клиент сотрёт всю корпоративную информацию с устройства, поэтому вероятность успешной кражи данных с помощью таких malware в корпоративном мире невысока.

    Вредоносные файлы могут наносить вред как мобильному устройству, так и корпоративным системам, к которым оно имеет доступ. Разберём эти сценарии подробнее.

    Вред мобильному устройству можно нанести, например, если скачать на него картинку, которая при открытии или при попытке установки обоев превратит устройство в «кирпич» или перезагрузит его. Скорее всего это навредит устройству или пользователю, но не скажется на конфиденциальности данных. Хотя бывают и исключения.

    Недавно обсуждалась уязвимость CVE-2020-8899. Утверждалось, что с её помощью можно получить доступ к консоли мобильных устройств Samsung с помощью заражённой картинки, отправленной по электронной почте, мессенджеру или MMS. Хотя доступ к консоли означает возможность доступа только к данным в публичных каталогах, где конфиденциальной информации быть не должно, конфиденциальность личных данных пользователей оказывается под угрозой, и это напугало пользователей. Хотя по факту, атаковать устройства возможно только с помощью MMS. А для успешной атаки нужно отправить от 75 до 450 (!) сообщений. Антивирус здесь, увы, не поможет, потому что не имеет доступа к журналу сообщений. Чтобы защититься от этого, есть только два варианта. Обновить ОС или заблокировать MMS. Первого варианта можно долго ждать и не дождаться, т.к. производители устройств выпускают обновления не для всех устройств. Отключить прием MMS в данном случае намного проще.

    Вред корпоративным системам могут нанести файлы, которые передаются с мобильных устройств. Например, на мобильном устройстве есть заражённый файл, который не может причинить вреда устройству, но может заразить Windows-компьютер. Пользователь отправляет такой файл по электронной почте своему коллеге. Тот открывает его на ПК и, тем самым, может его заразить. Но на пути этого вектора атаки стоят по крайней мере два антивируса – один на сервере электронной почты, другой на ПК получателя. Добавление в эту цепочку третьего антивируса на мобильном устройстве кажется совсем уж паранойей.

    Как видно, наибольшую угрозу в корпоративном цифровом мире представляют malware без привилегий root. Откуда они могут взяться на мобильном устройстве?

    Чаще всего их устанавливают с помощью sideloading, adb или сторонних магазинов, которые должны быть запрещены на мобильных устройствах с доступом в корпоративную сеть. Остаётся два варианта попадания malware – из Google Play или из UEM.

    Перед публикацией в Google Play все приложения проходят обязательную проверку. Но для приложений с небольшим числом установок проверки чаще всего выполняются без участия людей, только в автоматическом режиме. Поэтому иногда в Google Play попадает malware, но всё-таки не часто. Антивирус, чьи базы своевременно обновляются, сможет выявить приложения с malware на устройстве раньше Google Play Protect, который пока отстаёт по скорости обновления антивирусных баз.

    UEM может поставить на мобильное устройство любое приложение, в т.ч. malware, поэтому любое приложение нужно предварительно проверять. Приложения можно проверять как в процессе их разработки с помощью средств статического и динамического анализа, так и непосредственно перед их распространением с помощью специализированных «песочниц» и/или антивирусных решений. Важно, что при этом приложение проверяется однократно перед загрузкой в UEM. Следовательно, и в этом случае антивирус на мобильном устройстве не нужен.

    Сетевая защита


    В составе сетевой защиты в зависимости от производителя антивируса может предлагаться одна или несколько из следующих функций.

    URL-фильтрация применяется с целью:

    • Блокировки трафика по категориям ресурсов. Например, чтобы запретить смотреть новости или другой некорпоративный контент до обеда, когда сотрудник наиболее эффективен. На практике блокировка чаще всего работает с множеством ограничений – производителям антивирусов не всегда удаётся своевременно актуализировать справочники категорий ресурсов с учётом наличия множества «зеркал». Плюс есть анонимайзеры и Opera VPN, на которые блокировка чаще всего не распространяется.
    • Защиты от фишинга или подмены целевых хостов. Для этого URL, к которым обращается устройство, предварительно проверяются по антивирусной базе. Ссылки, а также ресурсы, к которым они ведут (включая возможные множественные редиректы), проверяются по базе известных фишинговых сайтов. Также осуществляется сверка доменного имени, сертификата и IP-адреса между мобильным устройством и доверенным сервером. Если клиент и сервер получают разные данные, то это либо MITM («человек посередине», man in the middle), либо блокировка трафика с помощью того же антивируса или разного рода proxy и веб-фильтров в сети, к которой подключено мобильное устройство. Уверенно сказать, что посередине кто-то есть, сложно.

    Чтобы получить доступ к мобильному трафику, антивирус либо строит VPN, либо использует возможности Accessibility API (API для приложений, предназначенных для людей с ограниченными возможностями). Одновременная работа нескольких VPN на мобильном устройстве невозможна, поэтому сетевая защита от антивирусов, которые строят собственный VPN, в корпоративном мире неприменима. VPN от антивируса просто не будет работать вместе с корпоративным VPN, который используют для доступа в корпоративную сеть.

    Предоставление антивирусу доступа к Accessibility API таит другую опасность. Доступ к Accessibility API фактически означает разрешение делать за пользователя что угодно — видеть то, что видит пользователь, выполнять действия с приложениями вместо пользователя и т.д. С учётом того, что пользователь должен явно предоставить антивирусу такой доступ, он скорее всего откажется это делать. Или, если его заставят, купит себе ещё один телефон без антивируса.

    Межсетевое экранирование


    Под этим общим названием скрываются три функции:

    • Сбор статистики по использованию сети с разделением по приложениям и типу сети (Wi-Fi, сотовый оператор). Большинство производителей Android-устройств предоставляют эти данные в приложении «Настройки». Дублирование её в интерфейсе мобильного антивируса кажется избыточным. Интерес может представлять совокупная информация по всем устройствам. Её успешно собирают и анализируют UEM системы.
    • Ограничение мобильного трафика – настройка лимита, оповещение при его достижении. Пользователям большинства Android-устройств эти функции доступны в приложении «Настройки». Централизованная настройка ограничений – задача UEM, а не антивируса.
    • Собственно, межсетевое экранирование (firewall). Или, иначе, блокировка доступа к определённым IP-адресам и портам. С учётом DDNS на всех популярных ресурсах и необходимости включения для этих целей VPN, который, как написано выше, не может работать совместно с основным VPN, функция кажется неприменимой в корпоративной практике.

    Проверка доверенности Wi-Fi


    Мобильные антивирусы могут оценивать безопасность Wi-Fi сетей, к которым подключается мобильное устройство. Можно предположить, что проверяются наличие и стойкость шифрования. При этом всем современные программы используют шифрование для передачи чувствительных данных. Поэтому, если какая-то программа уязвима на канальном уровне, то ее также опасно использовать через любые интернет-каналы, а не только через публичный Wi-Fi.
    Поэтому публичный Wi-Fi, в том числе без шифрования, не более опасен и не менее безопасен чем любые другие недоверенные каналы передачи данных без шифрования.

    Защита от спама


    Защита, как правило, сводится к фильтрации входящих звонков по списку, указанному пользователем, или по базе известных спамеров, бесконечно надоедающих страховками, кредитами и приглашениями в театр. Хоть в самоизоляции они и не звонят, но скоро опять начнут. Фильтрации подлежат только звонки. Сообщения на актуальных Android не фильтруются. С учётом регулярной смены спамерами своих номеров, невозможности защиты текстовых каналов (SMS, мессенджеры) функциональность носит скорее маркетинговый, а не практический характер.

    Антикражная защита


    Выполнение удалённых действий с мобильным устройством при потере или краже. Альтернатива сервисам Find My iPhone и Find My Device от Apple и Google соответственно. В отличие от своих аналогов сервисы производителей антивирусов не могут предоставить блокировку устройства, если злоумышленник успел сбросить его к заводским настройкам. Но если этого ещё не произошло, с устройством можно дистанционно сделать следующее:

    • Заблокировать. Защита от недалекого вора, потому что легко обходится сбросом устройства к заводским настройкам через recovery.
    • Узнать координаты устройства. Полезно, когда устройство было потеряно недавно.
    • Включить громкий звуковой сигнал, чтобы по нему найти устройство, если на нём включен беззвучный режим.
    • Сбросить устройство к заводским настройкам. Имеет смысл, когда пользователь признал устройство безвозвратно потерянным, но не хочет, чтобы хранимые на нём данные были разглашены.
    • Сделать фото. Сфотографировать злоумышленника, если он держит телефон в руках. Наиболее сомнительная функциональность – вероятность того, что злоумышленник любуется в телефон при хорошем освещении, невысока. А вот наличие на устройстве приложения, которое может незаметно управлять камерой смартфона, делать фотографии и отправлять их себе на сервер, вызывает обоснованную тревогу.

    Удалённое выполнение команд является базовым в любой UEM системе. В них отсутствует разве что удалённое фотографирование. Это верный путь к тому, чтобы пользователи после конца рабочего дня вынимали из телефонов аккумуляторы и клали их в мешок Фарадея.

    Функции антивора в мобильных антивирусах доступны только для Android. Для iOS такие действия может выполнять только UEM. UEM на iOS-устройстве может быть только один – это архитектурная особенность iOS.

    Выводы


    1. Ситуация, в которой пользователь может установить вредоносную программу на телефон, НЕДОПУСТИМА.
    2. Правильно настроенный UEM на корпоративном устройстве исключает потребность в антивирусе.
    3. В случае использования 0-day уязвимостей в операционной системе антивирус бесполезен. Он может только указать администратору, что устройство уязвимо.
    4. Определить – используется ли уязвимость, антивирус не может. Также, как и выпустить обновление для устройства, для которого производитель уже не выпускает обновлений безопасности. От силы – это год-два.
    5. Если абстрагироваться от требований регуляторов и маркетинга, то корпоративные мобильные антивирусы нужны только на Android устройствах, где пользователям доступен Google Play и установка программ из сторонних источников. В остальных случаях эффективность использования антивирусов не более чем плацебо.

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 77

      +1

      Для провижена айфоны до сих про требуют полного ресета устройства? С переходом на Apple Configurator 2 у нас сломалось накатывание профилей mobileconfig

        0

        Новый BYOD как раз про то, что на телефоне может быть две учетки iCloud и старую не нужно очищать. Я сам правда не видел как выглядит айось с двумя окружениями.

          +2
          Пользуюсь Apple Configurator 2. Профили накатываются без проблем. Ресет требуется только для супервайза. Его почти не делаем, потому что устройства выдали ночальнегам. А они не хотят терять рекорды в злых птицах (
          –12
          вирусы на телефонах

          Страдальцы с Android как всегда страдают, пока владельцы iOS наслаждаются жизнью без заразы.


          Если на одной платформе сосредоточено 99% мобильной малвари, то с ней явно что-то не так. И не нужно говорить, будто дело только в распространнености, как в случае с вирусами под macOS и Windows. Сейчас iOS занимает значительную долю рынка и это соблазнительная цель для мошенников. Просто архитектура iOS сделана лучше, как бы это не раздражало но с цифрами не поспоришь. Да, вы не может залить прошивку от васяна с 4pda, но зато ваши бабушки, родители и дети не подхватят вирус по ссылке из СМС, который украдет все деньги со счета сбербанка.


          Больно смотреть как люди мучаются с приложением сбербанка со встроенным антивирусом, которое в фоне крутит свои процессы и разряжает батарейку.

            +11
            но зато ваши бабушки, родители и дети не подхватят вирус по ссылке из СМС
            Но зато вы не владеете своим устройством. Вот бабушки пусть и пользуются, если им так лучше.
              –1

              Ага, а пользователи андроид полновластные владельцы своих устройств.

                +1
                Нет, не полновластные. Но андроид меньше напоминает золотую клетку. Файловый менеджер на iOS до недавнего времени был только после джейла. Да и новые Файлы дают посмотреть далеко не все.
                  +1
                  Пользователям Android, хотя бы, никто не мешает установить чистый AOSP в виде GSI-образа, не пользоваться сервисами Google и иметь права суперпользователя.

                  Пусть таких пользователей мало (и я даже к ним не принадлежу, потому что с сервисами Google удобненько), но возможность есть.
                    0

                    Спасибо за информацию.
                    Только непонятно, почему некоторые энтузиасты устанавливают некую LineAgeOS (на хабре, кстати, было пару статей на эту тему) вместо предложенного вам выше способа?

                      0
                      Потому что AOSP — открытая ОСь от гугла, которая имеет сборки для гугловских смартфонов (pixel, nexus).

                      Lineage построена на базе AOSP, с добавленными своими интерфейсными фичами, поддерживается сообществом и имеет сборки под сотни моделей телефонов.

                      Так что, при всём желании поставить AOSP не на pixel — либо допиливать самому под свой телефон, либо взять LineageOS.
                        0

                        Стало понятнее.
                        Благодарю!

                          0
                          Есть GSI-образы, допиливать не придётся. Лишь бы устройство было treble-совместимым.
                          0
                          Это вопрос вкусовых предпочтений.

                          Кто хочет максимально чистый Android (AOSP) — шьёт универсальный образ, собранный и регулярно обновляемый энтузиастами. Обновлений «по воздуху» нет, при желании обновиться — шить более свежий.

                          LineageOS это AOSP с дополнительными фишками, несколько иными приложениями по умолчанию и т.д. Если смартфон поддерживается в LineageOS официально, то обновления прилетают «по воздуху», и в целом всё работает стабильно, потому что есть ответственный человек, который следит, чтобы LineageOS нормально работала на конкретном аппарате.

                          Если официальной поддержки нет, то обычно есть сборки от энтузиастов, которые могут появляться нерегулярно и шьются вручную.

                          Ну и кроме LineageOS есть ещё масса кастомных прошивок, всё вышенаписанное к ним тоже применимо. Просто LineageOS удобнее всего, если ваша цель — максимум приватности.
                    +6
                    вирус по ссылке из СМС

                    Что не помешало Безосу получить взлом своего iPhone через WhatsApp.
                    Так что дырявого ПО везде хватает. А вот повышенная защищенность устройства вызывает ложное ощущение, что его нельзя взломать.
                      0
                      По моему вся безопасность iOS в закрытом коде и не возможности погонять бинарники приложений через какую — нибудь IDA. Такое Security through obscurity.
                        +1
                        ну не стоит забывать централизованное исправление ошибок с безопасностью, когда большинство устройств поддерживается с актуальной версией системы, и даже для устаревших версий выпускаются патчи. а не так, когда есть целый зоопарк производителей и версий андроида, при этом считается нормально не выпускать даже критические патчи на устройства, которое все еще используются. что позволяет использовать давно закрытые в актуальных версиях баги.
                          0
                          Google тоже начинает догонять. Ещё с 10го андроида анонсировали, что часть критичных обновлений будет доставляться через google play, минуя производителей железок. Всяко быстрее будет.

                          Но и яблоки в этом плане не идеальны. Старые модели искусственно замедляли? Замедляли. iPhone 5S получит iOS 14? Не получит. Да, лучше, чем на андроидах, где даже в среднем ценовом сегменте срок поддержки год-два. Но всё равно с косяками.
                            +1

                            «Замедление» отключается в настройках. А сделано оно для продления срока службы аккумулятора. Полезная, но полностью опциональная фича, а не «косяк»
                            iPhone 5S был выпущен в 2013 году, сейчас 2020й и он до-сих-пор поддерживает актуальную OS (не смотря на то, что iOS за это время претерпела очень много изменений), что просто удивительно. Назвать прекращение поддержки косяком, в такой ситуации, язык не поворачивается

                              0
                              да я не против андроида как такового, только вот получается что только в 10 версии добавилось возможность обновления напрямую. Когда в эппл в 6 версии можно было настраивать доступы, в андроиде это только через 3 года появилось. А учитывая политику производителей, можно пользоваться телефоном 2016 года, на который до сих пор доступен только 5 андроид. И это Самсунг. А есть еще целый зоопарк китайских устройств, на которые вообще никаких новых прошивок не выпускалось. И получается, что на эппл можно установить 6 версию на телефон 2009 года, и нельзя установить 6 версию андроида на телефон 2016 года.
                              Так что я не говорю что андроид хуже, но вот некоторые вещи он научился только сейчас. И это как раз по теме. Когда есть возможность запретить доступы для установленных приложений. Иногда достаточно отобрать у них доступ к камере, файлам, геолокации, и они продолжают работать, потому что это необязательные вещи.
                                0
                                Доступы в Android это вообще ужас. Был у меня китайский ведроид. Предустановленные приложения не запускались, если не дать им кучу ненужных по смыслу разрешений. Вот зачем камере доступ к журналу SMS? Я не знаю. Зато китайский производитель мог читать мои SMS.
                                0
                                Google тоже начинает догонять. Ещё с 10го андроида анонсировали, что часть критичных обновлений будет доставляться через google play, минуя производителей железок
                                Не очень представляю, как это будет работать. linux ядро — скомпиленный монолит, его не будет в Google Play под все модели. framework, интерфейс (шторка и рабочий стол) крупные компании (Samsung, HTC, Xiaomi) допиливают под себя так, что патчи не встанут, а зачастую эти компоненты ещё и обфусцированы.

                                Есть ещё Project Treble, позволяющий накатывать образ ОСи (в идеале — от google) на телефон, опираясь на стандартизированный HAL. Но с ним есть большое «но» — компании не заинтересованы в поддержке этой технологии. Им выгодно, чтобы телефон по версии Android устаревал за 2 года, и пользователь покупал новый.

                                Кроме того, даже если телефон поддерживает Treble, установка google-образа — удел гиков, да ещё при этом теряется фирменный софт (маркет самсунга, хорошая поддержка 108-мегапиксельных камер у всяких флагманов, активные грани, реагирующие на нажатие и фирменные технологии улучшения звука у HTC). Оно пользователям надо, терять в фичах ради самой новой версии Android?
                                  +1

                                  Я про Project Mainline. Краткий обзор был на хабре с год назад. В Android 11 число модулей ОС, которые можно обновить с помощью Google Play ещё увеличили. Понятно, что крупные вендоры допиливают Андроид как могут, но при достаточно жёсткой политике Гугла эти модули могут заставлять не менять. Иначе никаких тебе гугло-сервисов.

                              +1
                              Плюс невозможность установить и запустить неподписанное приложение. Заставлять потенциальную жертву ставить себе сертификат — для штучных атак можно, но задача нетривиальная. Для массовой раздачи троянов метод не годится.

                              Разумеется, в самой системе проверки подписи тоже могут быть уязвимости и что-то может завестись и так. Но пока о сколько-нибудь массовых историях нигде ни слова не было.
                                0
                                Это только недавно в айос так сделали, что нужно левый софт и профили в настройках явно разрешать, иначе не запустится. Хоть какой-то заслон от социальной инженерии.
                                +1
                                Это почему невозможно погонять?
                                Ну да — нужен хоть как то работающий джейлбрейк (Ну так есть для iOS 13 даже, не для всех устройств)(это даст возможность сдампить приложение, также как это делается для пиратских задач) и желательно не только IDA но и HexRays с поддержкой ARM а не только x86.
                                  +1
                                  Декомпиляция iOS приложений по сравнению с Android — это боль. IDA с поддержкой arm может помочь, но разбираться во всём этом декомпилированном обжективе или свифте, который в итоге трансируется в C — это ужос.
                                  0
                                  Я всю жизнь пользуюсь Android, но вынужден выступить в защиту Apple. В iOS реализовано множество механизмов, отсутствующих в Android.

                                  * упомянутое уведомление о доступе к буферу обмена, что уже побуждает производителей ПО шевелиться

                                  * Sign with Apple — не то, чтобы напрямую относится к безопасности, но позволяет не светить свою почту направо и налево

                                  * надёжная защита от сброса, а не FRP в Android (на 4PDA собрана впечатляющее количество способов его обойти, на YouTube ещё больше — это следствие того, что на каждом втором устройстве работает кастомизированный производителем Android, и каждый второй производитель привносит свои косяки, вдобавок довольно быстро забивая на обновления). У Apple же залоченное устройство останется таковым навечно, если только бывший владелец не лоханётся и его обманом не заставят снять блокировку.

                                  * USB Restricted Mode, который постоянно улучшают

                                  * вся работа с биометрией в iOS велась на выделенном сопроцессоре (т.е. образцы отпечатков пальцев и прочее не покидали сопроцессор) ещё во времена Android 4, когда незабвенная HTC хранила отпечатки пальцев в формате BMP во внутренней памяти (!), а остальные вендоры лепили костыли.

                                  Это только то, что вспомнилось навскидку
                                  В плане безопасности iOS на шаг впереди, не в последнюю очередь благодаря тому, что весь спектр железа, на котором она работает, заранее известен и сравнительно невелик, а производитель железа и софта — одна и та же компания.

                                  Да, что-то из перечисленного можно прикрутить к Android, только это будут примотанные изолентой грубые костыли типа полного отключения USB-порта.
                                  –1

                                  Вы путаете дорогую целевую (APT) атаку и массовые трояны.

                                  +2
                                  Больно смотреть как люди мучаются с приложением сбербанка со встроенным антивирусом, которое в фоне крутит свои процессы и разряжает батарейку.

                                  Для тех кто страдает от такого, советую засунуть сбербанк и прочие сомнительные, но нужные приложения в отдельный профиль. Запуск простым кликом по серой иконке приложения и вводом пина, отключение кликом по специальной кнопке в шторке. Боли нет, зависимость есть.
                                    +1
                                    Поясните, пожалуйста, что это за отдельный профиль? Профиль именно Android или какая-то специфичная для конкретного вендора история?
                                      +2
                                      «Рабочий профиль», появился с 5 версии Android. Что-то вроде отдельно контейнера со своими контактами, файлами, приложениями. В том числе и gapps там живут независимо от основного профиля.
                                      На своём самсунге я управляю им с помощью Shelter
                                      0
                                      Китайские смартфоны на MIUI отлично убивают всё, что висит в фоне и чему явно в настройках не указали отключить улучшенное энергосбережение. Так что «антивирус» сбербанка не особо то мешается.
                                        0
                                        Это так не работает. Клиент сбербанка на китайцах сделает всё возможное, чтобы ему отключили бьющее по работе в фоне энергосбережение. Вплоть до того, что будет заставлять пользователя каждый раз открывать приложение, чтобы проверить счёт. Нет работы в фоне — нет уведомлений о транзакциях. Вот и приходится терпеть антивирь (
                                          0
                                          Лучше не ставить мобильные приложения банков.
                                          Всё то же самое можно сделать с телефона через сайт (пусть это и не так удобно).
                                          Зато не отдаёшь свои контакты, фотографии, образцы голоса и видео (доступ к микрофону и камере есть у таких приложение).

                                          Оповещения о транзакциях — обычные СМС, ходят чётко, независимо от режимов энергосбережения.
                                      +4
                                      Страдальцы с Android…
                                      вирусами под… и Windows…
                                      вирус по ссылке из СМС...

                                      Я юзер андроида, начиная с 4.3 и до актуального 8.1
                                      Так же в домашнем парке несколько боевых машин под вин ХР и 7
                                      Никаких антивирусных приложений — никогда и нигде не устанавливал.
                                      Итак — есть ли готовые "вирусы" (exe/apk etc) или какие-то ссылки на ресурсы, где я смог бы гарантированно подхватить "заразу"? Никогда с вируснёй не сталкивался, очень хотелось бы взглянуть — как работает вражина...

                                        +1
                                        Я юзер андроида, начиная с 4.3 и до актуального 8.1

                                        Вообще актуальный Андроид 10, а скоро уже будет 11.

                                        Так же в домашнем парке несколько боевых машин под вин ХР и 7

                                        Пора обновляться. Всё это уже снято с поддержки. Антивирус для форточек — обычное дело. Особенно на домашних ноутбуках, где пользователь имеет права админа. Правда иногда срабатывает на разного рода «таблетки», но это издержки производства. Если с момента покупки компа на XP на нём не было антивируса, то вы скорее всего уже часть ботнета или на вашей видеокарте уже майнят биткойны. Конечно, если вы заходили в интернет.
                                          0

                                          Актуальность андроида — у конкретного юзера.
                                          Лично для меня уместны версии с 4.3 и до 7.0. Я желаю сам определять где и аак будут установлены угодные именно мне приложения и не желаю видеть навязанные ограничения, в частности — заблокированные в более поздних андроидах автозаписи разговоров/видеоконтактов самой осью и требующие установки костылей/дополнительных приложений для обхода ограничений..


                                          Винда: ХР СП2 и 7 энтерпрайз — полностью покрывают все мои хотелки. Зачем их обновлять? На что переходить? Нм убогую и глюкавую десятку, которая до сих пор не имеет законченной и стабильной версии?
                                          Одна дебильная привязка новых форточек к конкретному железу — уже за гранью разума… зачем мне это может понадобиться? Желаю запускать свою сконфигенную систему хоть с флешки, подключаясь к любому системнику ака х86, например… Почему производители оси возомнили, что могут диктовать мнп как я буду пользоваться их пробуктом, который, между прочим — честно куплен?


                                          Ну и "вирусов" — никогда не встречал.
                                          Есть примеры готовых или адреса, где их можно подцепить?

                                            0
                                            Вы вправе использовать хоть останки мамонта, но слово актуальный имеет вполне конкретное толкование.
                                            В отношении софта это либо последний, либо поддерживаемый сейчас.

                                              0

                                              Что такое поддержка? Зачем она нужна?
                                              ВинХР или андроид 4.3 — уже не работают?


                                              Для примера — актуальная ось для работы с камерой Red — это ХР и 7
                                              Работа с железом и софтом для dsd (аудио) — это ХР и только частично вин7
                                              Других вариантов нет, хотя ноги аудио ещё в прошлом веке, а камера модель 2018 года.

                                                0
                                                Блин, уже не все плеера на роботе6 стартуют.
                                                я со своим робот5 как из бактериальнлй эпохи, нужен плеер m4b с главами (чтобы за каждым разом не лезть куда-то глубоко, что бы не ломать пальцы в быстрых жестах) и оно прямо очень грустно.
                                                  0

                                                  Разве vlc не катает m4b?
                                                  Это же обычный аудиофайл с вшитым .cue

                                                    0
                                                    Воспроизводит, только как в vlc на андроиде докопаться до списка глав, я так и не нашёл.
                                                    deadBeef показывает список глав вместо плей листа, но — не хочет переключаться на следующую книгу, по завершению очередной книги.
                                                      0

                                                      Змей его знает…
                                                      Этот m4b какой-то малоизвестный формат оказался. Синтаксис .cue у него мутный. Так разметка аудио не делается, если заниматься прямыми руками…
                                                      Нашёлся только один юзер этой экзотики. Посоветовал Akimbo Audiobook Player — вроде как приложуха раъотает на совсем древних андроедах и новых…
                                                      Походу надо юзать вменяемые форматы, а не это "гениальное" изобретение..

                                                        0
                                                        А что можно взять?
                                                        Я одиночные записи держу в Opus.
                                                        Сейчас начали накапливаться хотелки, когда в сумме часов 30-80-150, с кучей подвопросов. Держать в каталоге — мороки много, один файл — навигация напрягает.
                                                        Потыкал в яндексе, на тему файлов со встроенной навигацией — как бы ничего толкового не нашлось.
                                                          0

                                                          Пользоваться стандартной связкой image + .cue, где image может быть в любом формате, от aac/mp3/ogg и до wav/aiff/flac etc
                                                          Из одиночных маленьких треков — лепить плейлисты. В сам .cue можно вбивать любые тэги.
                                                          Ну и всё это гонять с aimp — плеер под любые версии андроеда есть.


                                                          В общем-то стандартнейшее решение для аудио любого назначения.
                                                          А этот нелепый m4b — в топку..

                                        +2
                                        Сейчас iOS занимает значительную долю рынка и это соблазнительная цель для мошенников.

                                        В бабле — да. В штуках — нет. Эрго — мошенникам iOS неинтересна постольку, поскольку объемы инсталляций будут ожидаемо меньше.

                                        Просто архитектура iOS сделана лучше

                                        Зная как устроены обе — не могу согласиться. Android архитектурно почище и логичнее.

                                        дети не подхватят вирус по ссылке из СМС, который украдет все деньги со счета сбербанка.

                                        Городской миф. Большая часть «вирусов» — это социнженерия с использованием необразованности прокладки между стулом и экраном.
                                        А вот после checkra1n хвастаться «защищенностью» айоси некомильфо как-то.

                                        Ах, да. В iOS нету локального API для инициации вайпа, например, что на мой взгляд есть недоделка по сравнению с Android.
                                          0
                                          Ах, да. В iOS нету локального API для инициации вайпа, например, что на мой взгляд есть недоделка по сравнению с Android.

                                          iPhone можно спокойно вайпнуть из настроек или вы о другом?
                                            +1
                                            Я о программной доступности этого функционала через API.
                                            В Android для этого (и многих других вещей) есть Device Administrator API.
                                            В случае с iOS — поднимайте свой MDM-сервер, делайте профиль, накатывайте его в айфон, и команду на вайп давайте удаленно. Если сумеете.
                                          +2
                                          но зато ваши бабушки, родители и дети не подхватят вирус по ссылке из СМС

                                          Купить бабушке, родителям и детям по айфону… Лучше уж пусть вирусы хватают.
                                            0
                                            Как сказать… Когда бабушка потеряет 400 тыс. рублей накоплений всей её жизни из-за троянского APK, поставленного с маркета по ссылке с сомнительного сайта, тогда и посмотрим, что лучше.
                                              0

                                              Пардон, а как она может потерять все свои накопления?

                                                0

                                                Допустим, это апк-кейлогер. С помощью API для слепоглухонемых считывает всё, что делает бабка на телефоне. В этом случае потенциально может увести учётку от онлайн сберкнижки. Но, IMHO, ни одна бабка себе банк-клиент на телефон не поставит. Ровно потому что не доверяет ничему, кроме того, что хранится на своей антресоли. И ни один мальчонка с айпадом в отделении банка, куда ей капает пенсия, её в этом не переубедит.

                                                  0
                                                  Но, IMHO, ни одна бабка себе банк-клиент на телефон не поставит
                                                  Видел немало пожилых людей (60+ лет), у которых на телефоне вайбер, сбербанк, и т.п., они хотят пользоваться всеми технологиями, но не шарят в безопасности.
                                                  И ни один мальчонка с айпадом в отделении банка, куда ей капает пенсия, её в этом не переубедит
                                                  А они в сбере и не переубеждают. Они говорят: дайте свой смартфон, я вам всё сейчас настрою. И приложение поставят, и авто-платежи включат. У них похоже KPI на это, поэтому впаривают чуть ли не обманом.
                                          +1
                                          В этих мобильных приложениях могут содержаться чувствительные данные, из-за которых эти приложения не размещают в публичном магазине. Передача таких дистрибутивов производителю антивируса представляется некорректной с точки зрения безопасности.
                                          Но ведь можно в самом дистрибутиве не хранить чувствительных данных, а скачивать их в приватную папку приложения после того, как юзер залогинится на сервер компании.
                                            0
                                            А где же Аврора? У нас же есть отечественное, своё. Вон на прошлой неделе для неё антивирус слепили. Вирусов правда нет, ну и ладно. Карго-культ. Написал антивирус, скоро и вирусы появятся.
                                              –2
                                              Любит наш народ всякое…
                                                +2
                                                Почему если отечественное, то сразу оно? Если не вкладывать деньги в развитие своей электроники и ПО, большой брат так и будет диктовать нам свою волю, манипулируя нашими данными и геолокацией. Стоит только ввести что-нибудь в браузере, сразу куча контекстной рекламы. Даже короновирус в своих интересах поимели. Встроили Contact Tracing API и в iOS, и в Android. Теперь за всеми будут следить.
                                                  +1
                                                  Большой брат так и будет диктовать нам свою волю, манипулируя нашими данными и геолокацией

                                                  У каждого телеком оператора данных стоит СОРМ, на котором хранятся все ваши данные. Какой большой брат вам ближе? )

                                                  Встроили Contact Tracing API и в iOS, и в Android. Теперь за всеми будут следить.

                                                  А то раньше не следили? Любой сотовый оператор знает где вы с точностью до размещения сотовых вышек. Ваш навигатор сообщает Гуглу или Яндексу где и когда вы были. Приватность в современном мире — миф.

                                                  А вообще перед тем, как такое писать, хотя бы матчасть бы изучили. Приложений, использующих Contact Tracing API в каждой стране может быть штучное количество. Приложениям, имеющим доступ к Contact Tracing API, запрещён доступ к геолокации. Это вам не Социальный мониторинг.
                                                    0
                                                    Встроили Contact Tracing API и в iOS, и в Android. Теперь за всеми будут следить.

                                                    Почитайте обзоры как этот API работает. Его для не заявленных целей использовать не получится.

                                                    Производителю платформы другими способами следить гораздо проще и получатся те же данные (ну кроме сближения с другими пользователями на малую дистанцию, GPS для этого слишком неточен).
                                                      0
                                                      То есть тот факт, что теперь телефоны на Android и iOS собирают данные о том, какие устройства и когда были рядом, никого не смущает? Не нужен ни GPS, ни СОРМ, просто устройства и их большие хозяева всегда знают кто где был. Никто никому ничего.
                                                        0
                                                        Откровенно говоря, доступность куков на сайтах меня смущает больше. Но, как пишет у себя на сайте А.Лебедев, без них весь интернет работает через жору.
                                                          0
                                                          Не смущает потому что это не так. Если система вообще реализована как заявлено.
                                                          Смотрим Apple'овский FAQ covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.1.pdf
                                                          (и ссылки на детали реализации на www.apple.com/covid19/contacttracing )

                                                            0
                                                            То есть тот факт, что теперь телефоны на Android и iOS собирают данные о том, какие устройства и когда были рядом, никого не смущает?
                                                            А вас что смущает? Наличие API не означает наличие приложений. Приложения вы можете ставить или не ставить. А для безопасности ходить с всегда выключенными WiFi и BT вне дома, т.к. по работающим передатчикам этих протоколов вас могут отследить, например в торговых центрах, независимо от новых страшных API.
                                                    0
                                                    Если абстрагироваться от требований регуляторов и маркетинга, то корпоративные мобильные антивирусы нужны только на Android устройствах, где пользователям доступен Google Play и установка программ из сторонних источников. В остальных случаях эффективность использования антивирусов не более чем плацебо.

                                                    Покупка антивирусов для безов стала привычкой. Есть endpoint, должен быть антивирус. Без вариантов. Пусть он плацебо, зато надёжно защищает пятую точку в случае реальной атаки. Антивирус есть? Есть. Значит виноваты пользователи и айтишники. Казнить нельзя помиловать.

                                                    Недавно обсуждалась уязвимость CVE-2020-8899. Утверждалось, что с её помощью можно получить доступ к консоли мобильных устройств Samsung с помощью заражённой картинки, отправленной по электронной почте, мессенджеру или MMS… Хотя по факту, атаковать устройства возможно только с помощью MMS. А для успешной атаки нужно отправить от 75 до 450 (!) сообщений.

                                                    То же самое. Есть CVE, значит устройство можно взломать. Пофигу, что для эксплуатации нужно over-до-фига сообщений. Не важно, что в результате атаки удалось только запустить калькулятор (см. видео эксплоита). Важно, что есть опасность (пусть и вымышленная), которой продавцы пустышек могут пугать младенцев бабайкой. Агу-абырвалг-купи средство защиты.
                                                      0
                                                      Чаще всего их устанавливают с помощью sideloading, adb или сторонних магазинов, которые должны быть запрещены на мобильных устройствах с доступом в корпоративную сеть. Остаётся два варианта попадания malware – из Google Play или из UEM.

                                                      Ага, давайте запретим на устройстве вообще всё. Накупим для него антивирей, UEMов, VPNов и прочей нечисти. В результате у пользователя вместо нормального устройства будет золотой калькулятор по цене малолитражки. Есть маркет от Хуавея, есть от Самсунга, есть от Безоса. Ничем не хуже GPlay, да и к разработчикам более лояльны. Не ровен час, Телега только в них доступна будет.
                                                        0
                                                        Давайте не путать корпоративное и личное использование. Хотите пользоваться Windows XP и не ставить антивирус — пожалуйста. Тут как с прививками. Не хотите превентивно, надейтесь, что пронесёт или болейте.

                                                        Простой пример. Есть корпоративный ноутбук. Софт на нём всегда дороже, чем сама железка. И за этот софт ещё нужно ежегодно платить техподдержку, обучать персонал его использовать и сопровождать. На корпоративном ноутбуке никто не жалуется, что не может сам себе приложение поставить. Дали устройство для работы — пользуйся для работы. Просто мы привыкли, что телефон — это «моя прелесть» и не хотим ни в чём себя ограничивать. Но компании, которая этот телефон вам купила, вправе защищать свои активы. Правда делать это надо с умом, а не по принципу «куплю то же, что для ноутбука».
                                                          0
                                                          Мы говорим про выданный компанией телефон или про купленный пользователем?
                                                          Если второе — какие такие активы? Компания хочет чтобы была работа с ее ресурсами в том числе НЕ с рабочего места и в НЕ рабочее время? Пусть ищет решение которое не будет слишком уж мешать пользователям.
                                                          Если первое — ну пусть. Только зачем пользователю ЭТОТ телефон как основной использовать и таскать с собой везде где основной используется?

                                                          p.s.
                                                          Сейчас работаю на контору где требования по безопасности все же есть.
                                                          Доступ к половине инфраструктуры только через VPN (просто VPN, без проверок 'а тот ли у пользователя антивирус'). Доступ с мобильных устройств вообще официально невозможно поскольку токен для VPN не воткуть. А вот ко второй половине — просто логин и пароль. Office365, Zoom, WebEx, Skype, Telegram используются активно.
                                                            0
                                                            Я за разумность безопасности. Если устройство корпоративное, то работодатель вправе запретить на нём, что захочет. Если он дурак или на плече видны мозоли от погон, то на устройствах запретят всё, что только можно, будут следить за локацией, пытаться читать SMS с корпоративных SIM. Короче, мрак и ужас, от которого сотрудники или бегут, или после работы выключают телефон и оставляют в офисе.

                                                            На личном телефоне врубать невероятные запреты — вообще безумие. Но поставить VPN и какой-нибудь MDM для того, чтобы запретить установку всякого г-на (sideloding) и раскатать инхаусные приложухи вполне можно. У нас слепили какое-то инхаусное приложение для доступа к СЭД. Убогое и кривое. В маркет, видимо, положить стыдно. Пока ставим руками. Надоело. Задумались над MDMкой. В вашей конторе её случайно нету?
                                                              0
                                                              Но поставить VPN и какой-нибудь MDM для того, чтобы запретить установку всякого г-на (sideloding) и раскатать инхаусные приложухи вполне можно.

                                                              F-Droid и приложения из него — г-но? Adguard тоже?

                                                              В вашей конторе её случайно нету?

                                                              Нет. (Если не считать попыток Office365 получить права на в том числе вайп, при этом что интересно редирект на другую почту вполне себе работает).
                                                              Но возможно тут еще важно:
                                                              — особенности организационной структуры (не могу сказать подробнее)
                                                              — особенности внутренней политики (у меня и большинства других разработчиков нет доступа к критически важной информации, вроде полных клиентских данных, а тем кому это надо, для этих задач есть схема с VPN + терминальный сервер)
                                                              — ни в каком из подписанных договоров НЕ сказано что у меня вообще должен быть смартфон. А вот в правилах про 'быть доступным' прямо указано что касается только рабочего времени.


                                                                0
                                                                F-Droid и приложения из него — г-но? Adguard тоже?

                                                                Нет, но запретить sideloading, к сожалению, можно только вместе с ними (


                                                                Нет. (Если не считать попыток Office365 получить права на в том числе вайп, при этом что интересно редирект на другую почту вполне себе работает).

                                                                Можете подробнее про редирект на другую почту? Gmail при настройке Exchange учётки безальтернативно требует прав администратора устройства и может как вайпнуть, так и потребовать наличия пароля. Это можно как-то обойти?

                                                                  0
                                                                  Есть веб интерфейс Outlook'а в Office365. Там просто беру и ставлю что всю входящую почту посылать на xxx.yyy@zzz.com. Претензий нет. zzz.com куплен на меня, почтовый сервер там — часть платного G Suite.

                                                                  Кстати c правами — Outlook в данном случае гадких прав он требует на старых андроидах (на Android 10 у меня не требовал). Возможно тут поможет полноценная настройка Work Profile (ну или «защищенной папки» на Samsung'ах) но что-то пробовать не очень хочется.
                                                                    0
                                                                    Это можно как-то обойти?
                                                                    Да, это можно обойти. Я на своём телефоне декомпилил mail-клиент (не gmail, а от производителя телефона), и вырезал все эти вайпы, запросы и проверки прав девайс-админа и применение политик (такие, например, как запрет камеры или требования по сложности пароля).

                                                                    Проще всего это сделать, тупо испортив строковую константу «Data» — это имя xml-ноды, в которой лежат политики. Например, меняешь на «Zata», и клиент скачивает политики, но парсер не находит ноду в xml.

                                                                    Есть вариант найти альтернативный eas-клиент, который команду RemoteWipe трактует как очистку локальных данных ящика, а не всего девайса (сейчас не помню название приложение, но находил когда-то).
                                                              0
                                                              Мне на работе дали ноутбук для работы и ни в чём на нём не ограничивают. Смартфоном подключаюсь к почте без всяких VPN. Антивирус на ноуте поставили, но я был не против. Пока особо не мешает. На смартфон ничего не ставили, да я бы и не дал.
                                                            +1

                                                            после коровы было дохренища темп-рут эксплоитоа, как общесистемных (последний — апрель этого года) так и специфичных для вендора (mtk-su был в паблике ГОД, прежде чем его нехотя признали. Что творится с куалкомм можно посмотреть в публичных бюллетенях)

                                                              0
                                                              Статья на самом деле очень поверхностная. Самый злой вирус корпоративного телефона как раз сисадмин. Я обошёл корпоративные политики и в свободное от работы время пользуюсь телефоном как личным. А на самом деле корпоративный телефон, судя по разрешениям, может подслушивать и подглядывать постоянно, о чем автор скромно умолчал и не предложил никаких мер. Позор тебе, автор.
                                                                0

                                                                Пользуюсь Android-смартфонами с 2009 года, iPhones совместно с Andro-смартами с 2017.
                                                                Ни разу антивирями не пользовался. Ставил, пробовал, мониторил и в тот же день удалял.
                                                                Всегда знал и знаю, лучший антивирус — разумность пользователя.

                                                                  0
                                                                  Спасибо за статью, но если позволите — ряд замечаний
                                                                  А вот смартфон бухгалтера

                                                                  Вечно этот бухгалтер. По статистике однако гораздо чаще открывают все подозрительное менеджер по покупкам-продаже и руководство. Именно устройства руководства зачастую источник заражений

                                                                  Большинство современных мобильных антивирусов

                                                                  Вот тут хотелось бы список. Далеко не все проводят аудит, аудит не цель антивируса, так как особого смысла в нем нет. Так как тот же рут нужен самому антивирусу, чтобы лечить системные области. Да, именно так. Антивирус в Андроид — не системное приложение, это обычная программа, без доступа к системным областям.

                                                                  • Если приложение неизвестно, передать его дистрибутив в глобальную базу для анализа и декомпиляции

                                                                  И пользователь будет ждать времени анализа?
                                                                  Смысла в этом действии 0. Именно в Андроид трояны (вирусов там нет) или задерживают старт вредоносной работы чтобы обойти песочницы или вообще вредоносный функционал загружают с обновлениям
                                                                  Предлагаемая работа по контрольным суммам это уже не антивирус, это функционал контроля приложений. В мире мобильных не востребован в силу крайне малого уровня продаж в корпоратив

                                                                  Больше всего опасений вызывает возможность передачи дистрибутивов программ с устройства на внешний сервер. Без этого нельзя реализовать заявляемый производителями антивирусов «поведенческий анализ», т.к. на устройстве нельзя запустить приложение в отдельной «песочнице» или произвести его декомпиляцию (насколько она эффективна при использовании обфускации – это отдельный сложный вопрос).

                                                                  Поведенческий анализ не требует ресурсов, это по сути контроль обращений к неким ресурсам системы. Проблема реализовать его в Андроид не в ресурсах системы скорее всего, а в том, что антивирус не системная программа. Ну и плюс эффективность песочниц именно для андроида вызываем сомнения

                                                                  Поэтому иногда в Google Play попадает malware, но всё-таки не часто

                                                                  Новости об обнаружении в гугле плэй очередной пачки троянов выходят наверно раз в неделю

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое