Михаил Варакин
преподаватель Центра компьютерного обучения «Специалист»
при МГТУ им. Н.Э. Баумана
По мере увеличения занимаемой доли рынка мобильных устройств платформа Android становится все более привлекательной для разработчиков корпоративных приложений. При этом для корпоративной среды характерна потребность в соблюдении политик, обеспечивающих необходимый уровень безопасности информационных систем. В Android API 8 (Android 2.2) впервые появилась поддержка корпоративных приложений с помощью Device Administration API, обеспечивающего возможность администрирования устройств на платформе Android на системном уровне. Данный API дает возможность разработчикам создавать приложения, необходимые в корпоративной среде, где администраторам ИС предприятия требуется контроль над мобильными устройствами персонала. Одно из таких приложений уже имеется на всех современных устройствах: встроенный почтовый клиент использует Device Administration API при синхронизации с Microsoft Exchange и посредством этого приложения администраторы Exchange могут обеспечивать соблюдение требований политик работы с паролями, а также удаленно стирать данные (делать сброс к заводским установкам) в случае потери или кражи устройства.
Организационные аспекты использования
Приложение, использующее Device Administration API, может быть установлено на устройство любым способом, как через Google Play, так и из других источников. Факт наличия установленного приложения еще не обеспечивает соблюдения политик, для которого оно было создано – от пользователя требуется согласие на применение политик администрирования. В случае отказа приложение останется в системе и будет находиться в неактивном состоянии. Как правило, согласие пользователя на использование политик предоставляет ему полезные возможности, например, доступ к конфиденциальной информации, недоступной в случае отказа. При несоблюдении пользователем действующих политик (например, при использовании недостаточно стойкого пароля), реакция приложения определяется тем, что посчитал нужным реализовать разработчик; обычно пользователь теряет возможность использования корпоративных сервисов. При использовании механизма администрирования в корпоративных средах следует иметь в виду следующие особенности:
- при попытке соединения с сервисом, требующим соблюдения определенного набора политик, не все из которых поддерживаются мобильным устройством (например, из-за устаревшей версии Android), соединение не будет устанавливаться;
- если на устройстве активированы несколько приложений, использующих Device Administration API, применяются наиболее строгие ограничения, накладываемые политиками администрирования, использующимися в данных приложениях;
- кроме разнообразных ограничений, касающихся паролей (сложность, период устаревания, количество попыток ввода), максимального времени неактивности перед блокировкой экрана, требований к шифрованию носителей и запрета использования камеры, в настоящий момент Device Administration API предоставляет дополнительные возможности: требование смены пароля, немедленная блокировка экрана и сброс к заводским установкам (с возможностью очистки внешнего накопителя – SD-карты);
- опасения пользователей относительно возможностей доступа администраторов компании к личным данным и переписке, паролям владельцев устройств в социальных сетях и т. п. совершенно безосновательны: Device Administration API таких возможностей не предоставляет.
Как это работает
В настоящий момент Device Administration API содержит три класса, являющихся основой для полнофункциональных приложений администрирования устройств:
- DeviceAdminReceiver : базовый класс для классов, реализующих политики администрирования; callback-методы этого класса предоставляют удобные средства для описания реакций на те или иные события, связанные с политиками – индивидуальные «приемники сообщений» для разных событий;
- DevicePolicyManager : класс для управления политиками, применяющимися на устройстве;
- DeviceAdminInfo : класс, использующийся для описания метаданных.
Основная логика приложения реализуется в классе, расширяющем класс DeviceAdminReceiver, являющемся наследником класса BroadcastReceiver. Здесь важно помнить, что callback-методы нашего класса исполняются в главном потоке приложения (UI thread), так что выполнение длительных операций в них недопустимо из-за опасности блокировки интерфейса пользователя. Все необходимые «долгоиграющие» действия должны выполняться в другом потоке (или даже в отдельном сервисе). Как и обычный BroadcastReceiver, наш класс должен быть описан в манифесте приложения:
. . .
android:permission="android.permission.BIND_DEVICE_ADMIN"
android:resource="@xml/device_admin_data" />
. . .
Как видно на примере, наш приемник будет принимать сообщения с action, равным ACTION_DEVICE_ADMIN_ENABLED. Для того, чтобы такие сообщения нам могла посылать только система, требуем наличия полномочий BIND_DEVICE_ADMIN (эти полномочия не предоставляются приложениям). Элемент meta-data содержит указание на ресурс, содержащий поддерживаемые приложением политики. В нашем случае путь к XML-файлу такой: res/xml/device_admin_data. Примерное содержимое файла показано ниже:
Дочерние элементы в uses-policies описывают типы политик, использующихся в приложении. Полный список возможных политик можно найти в константах класса DeviceAdminInfo, в том числе на сайте developer.android.com: http://developer.android.com/reference/android/app/admin/DeviceAdminInfo.html .
Рассмотрим примерную реализацию компонента администрирования:
public class MyDeviceAdminReceiver extends DeviceAdminReceiver {
@Override
public void onDisabled(Context context, Intent intent) {
super.onDisabled(context, intent);
// Вызывается перед тем, как данное приложение перестанет
// быть администратором устройства (будет отключено
// пользователем).
}
@Override
public void onEnabled(Context context, Intent intent) {
// Вызывается, когда пользователь разрешил использовать
// этот приложение как администратор устройства.
// Здесь можно использовать DevicePolicyManager
// для установки политик администрирования.
}
@Override
public void onPasswordChanged(Context context, Intent intent) {
super.onPasswordChanged(context, intent);
// Вызывается после смены пароля пользователем.
// Соответствует ли новый пароль политикам,
// можно узнать с помощью метода
// DevicePolicyManager.isActivePasswordSufficient()
}
@Override
public void onPasswordExpiring(Context context, Intent intent) {
super.onPasswordExpiring(context, intent);
// Вызывается несколько раз при приближении времени
// устаревания пароля: при включении устройства, раз в день
// перед устареванием пароля и в момент устаревания пароля.
// Если пароль не был изменен после устаревания, метод
// вызывается раз в день
}
@Override
public void onPasswordFailed(Context context, Intent intent) {
super.onPasswordFailed(context, intent);
// Вызывается в случае ввода неправильного пароля.
// Количество неудачных попыток ввода пароля можно узнать
// с помощью метода getCurrentFailedPasswordAttempts()
// класса DevicePolicyManager.
}
. . .
}
Для управления политиками в приложении требуется получить ссылку на менеджер управления политиками (обратите внимание, что context передается показанным выше методам в качестве параметра):
DevicePolicyManager dpm = (DevicePolicyManager) context
В дальнейшем этот менеджер будет использоваться для установки политик. Метод onEnabled(), устанавливающий требуемое качество пароля мог бы выглядеть примерно так:
@Override
public void onEnabled(Context context, Intent intent) {
super.onEnabled(context, intent);
DevicePolicyManager dpm = (DevicePolicyManager) context
.getSystemService(Context.DEVICE_POLICY_SERVICE);
ComponentName cn = new ComponentName (context, getClass ()
dpm.setPasswordQuality (cn, DevicePolicyManager.
PASSWORD_QUALITY_NUMERIC);
Установки других параметров пароля делаются с помощью соответствующих методов DevicePolicyManager:
dpm.setPasswordMinimumLength(cn, 32);
dpm.setPasswordHistoryLength(cn, 10);
dpm.setPasswordExpirationTimeout(cn, 864000000L);
Помимо установки политик, DevicePolicyManager позволяет совершать и другие операции (разумеется, не в методе onEnabled()):
- моментальная блокировка экрана:
dpm.lockNow(); - сброс к заводским установкам с очисткой SD-карты:
dpm.wipeData(DevicePolicyManager.WIPE_EXTERNAL_STORAGE); - блокировка камеры:
dpm.setCameraDisabled(cn, true);
Дополнительная информация
Развернутый работающий пример приложения можно найти в комплекте поставки Android SDK (<путь-к-SDK>/samples/android-<версия-API/ApiDemos/).
На сайте developer.android.com есть статьи по данной теме в разделах Training: http://developer.android.com/training/enterprise/device-management-policy.html и API Guides: http://developer.android.com/guide/topics/admin/device-admin.html .
Описания классов пакета android.app.admin на этом же сайте: http://developer.android.com/guide/topics/admin/device-admin.html .
Научиться разработке мобильных приложений под Android Вы сможете в .
Поймать троян себе на мобильный телефон может любой пользователь, который захочет скачать и установить себе на девайс так называемые «живые» обои (обычно анимированная картинка, которая инсталлируется на рабочий стол). Это одна из самых популярных забав владельцев Android-гаджетов, чем и . Вирус «зашит» в программу с «живыми» обоями и так и попадает на пользовательское устройство.
Как сообщают аналитики из «Доктора Веба», изучившие троян, злоумышленники добились того, что при инсталляции софт не требует никаких разрешений. А после установки не имеет иконок среди приложений и вызывается как обычно, через меню настройки фона экрана. В результате, троян «по-тихому».
Конечно, нельзя запретить пользователям скачивать себе такое украшательство для мобильника, как «живые обои». Однако чтобы не попасться на удочку вирусописателей, после скачивания следует внимательно следить за ходом установки. После того как «живые» обои были запущены, показывается сообщение на китайском языке, предлагающее дополнительный элемент для работы софта. Когда пользователь согласится его получить, то программа начнет процедуру установки скрытого в ней второго пакета. Скрытый пакет с трояном Android.SmsSend.186.origin. Вредоносный пакет обладает большим количеством разрешений, позволяющим ему развернуть бурную деятельность на мобильнике жертвы.
По словам аналитиков, сразу после запуска вирус демонстрирует предложение активировать для него права администратора. Самое плохое, что отменить это предложение нельзя - меню появляется постоянно. Остается только активировать администраторский режим. И тут вирус возьмет под контроль системные настройки. Войти в них будет нельзя, так как вирус пресечет эту попытку и выбросить пользователя на главный экран.
Увидеть, что вирус попал на мобильник, пользователь сможет только в системном меню. Но удалить программу из настроек и лишить ее прав администратора не получится. Хитрая программа функционирует в виде двух сервисов. Завершить один можно, но второй не убивается, и восстанавливает работу завершенного.
Китайский троян преподносит два неприятных сюрприза. Во-первых, он может начать отправлять платные SMS, опустошая счет жертвы. Во-вторых, вирус обладает возможностью перехватывать входящие сообщения и отправлять их злоумышленникам.
Как вылечиться
В компании «Доктор Веб» предлагают пошаговую инструкцию, позволяющую избавиться от вируса.
Шаг №1. Попытаться зайти в системные настройки, в раздел «Безопасность» и убрать троян из администраторов устройства (снять с него галочку). Скорее всего, он будет сопротивляться. Если будет перенаправление на главный экран, нужно зажать кнопку «Домой», чтобы вызвать список ранее открывавшихся программ и выбрать приложение «Настройки» из списка ранее запущенных. Повторяя это действие (после возврата на главный экран), вызывать через зажатие кнопки «Домой» необходимый раздел настроек.
Шаг №2. После того, как администратор будет снят, троян начнет снова донимать пользователя, прося дать ему администратора. В этом случае нужно запастить терпением и снова проделывать трюк с кнопкой «Домой», вызывая ранее работавшую настройку и постепенно пробираться к пункту «Приложения» -> «Управление приложениями». Зайдя в «Управление приложениями», найти трояна (Android ?? ??), выбрать его и остановить процесс. Естественно, он будет выкидывать в главный экран, но опять же нужно использовать кнопку «Домой». После этого программу можно уже удалять стандартным способом.
Шаг №2 (альтернативный). Как только убран администратор, проверить систему антивирусом. Он уже сможет сам удалить троян. Но важно помнить - антивирус не сумеет удалить вредоносную программу, когда активен администратор.
Скачала и установила игру не с плей маркета. Теперь постоянно стала появляться реклама, пытаются установиться разные другие программы. Когда пытаюсь удалить программу, которая была причиной всех моих бед, то кнопка Удалить неактивна. Вычитала что в этом случае нужно зайти в раздел Администраторы устройства в настройках Безопасности телефона. Там есть эта вредоносная программа, когда пытаюсь снять галочку, и в следующем окне подтверждаю, то гаснет экран телефона. Спустя какое-то время телефон оживает, но это вредная программа все-так же администратор.
Помогите пожалуйста удалить эту вредную программу.
Этот андроид вирус, который блокирует снятие галочки в разделе «Администраторы устройства» удалить довольно сложно, но можно. То есть сразу бросаться и перешивать телефон нет необходимости.
1 способ удаления вируса отключающего экран телефона:
- Нажмите кнопку включения/выключения телефона и подержите её несколько секунд. Появиться окошко в котором есть пункт Отключить питание. Нажмите его и держите пока не появиться сообщение «Переход в безопасный режим». Нажмите OK. Ваше телефон выключиться и загрузиться в безопасном режиме.
- Откройте настройки телефона, далее нажмите пункт Безопасность, далее Администраторы устройства. Снова попытайтесь снять галочку напротив вредоносной программы. Подтвердите свои действия. Если появиться окно с сообщением «Для отката обновлений требуется полный возврат заводских настроек. Вся информация на Вашем устройстве будет удалена..», то смело жмите на OK. Это сообщение создано только для того чтобы вас напугать.
- Если предыдущий шаг прошёл успешно, то смело заходите в раздел Приложения в Настройках телефона и удаляйте вредоносную программу.
2 способ удаления вируса отключающего экран телефона:
- Загрузите с плеймаркета программу Malwarebytes Anti-malware https://play.google.com/store/apps/details?id=org.malwarebytes.antimalware
- Запустите и полностью просканируйте телефон, удалите найденных зловредов.
- Откройте Настройки телефона, далее Безопасность, затем Администраторы устройства. Снимите галочку напротив вредоносной программы. Подтвердите свои действия. Если появиться окно с сообщением «Для отката обновлений требуется полный возврат заводских настроек. Вся информация на Вашем устройстве будет удалена..», то смело жмите на OK. Это сообщение создано только для того чтобы вас напугать.
- Если шаг 3 прошёл успешно, то откройте раздел Приложения в Настройках телефона и удалите вредоносную программу.
В способе 2, пункт 1, вместо Malwarebytes Anti-malware вы так же можете попробовать KIS
Сообщения об ошибкахНе удалось пройти аутентификацию. Укажите верный пароль и повторите попытку.
Эта ошибка может появляться, если пользователь установил приложение Google Apps Device Policy и пытается настроить его с использованием аккаунта G Suite.
Пользователи должны повторить шаг 2 из раздела Настройка Google Apps Device Policy на телефоне или планшетном ПК несколько раз, выбрав аккаунт G Suite. При появлении такого сообщения об ошибке им может потребоваться повторно ввести пароль.
Если решить проблему не удается и в аккаунте включена двухэтапная аутентификация , вместо пароля G Suite нужно вводить пароль приложения .
Ошибка входа в аккаунт [адрес электронной почты] .
Эта ошибка может появиться в строке состояния Android в верхней части экрана при настройке приложения Google Apps Device Policy.
Когда пользователь нажимает на сообщение об ошибке, на экране появляется сообщение "Вы ввели неверный пароль, или аккаунт был изменен. Введите пароль еще раз". Пользователю необходимо повторно ввести пароль.
Пользователи домена должны использовать систему управления мобильными устройствами. Установите приложение Google Apps Device Policy, чтобы применить правила безопасности, необходимые для аккаунта [адрес электронной почты] .
Эта ошибка возникает потому, что вы включили активацию устройств , а пользователь ещё не установил Google Apps Device Policy . Попросите пользователя нажать на устройстве соответствующую кнопку, чтобы скачать приложение.
Управляемый аккаунт уже есть. На этом устройстве можно использовать только один управляемый аккаунт.
Это сообщение может появиться на корпоративном устройстве или устройстве с рабочим профилем, если пользователь пытается добавить несколько управляемых аккаунтов G Suite. Ему необходимо удалить с устройства все управляемые аккаунты, кроме одного.
Как пользователи могут удалить приложение Google Apps Device Policy?
Как дистанционно удалить данные с устройства?
Как узнать версию ОС Android на телефоне пользователя?
На устройстве нажмите Настройки > О телефоне > Информация о ПО . Для работы приложения Google Apps Device Policy необходима ОС Android 2.2 или более поздней версии.
Как узнать, настроил ли пользователь рабочий профиль на устройстве?
На устройстве нажмите Настройки > Аккаунты . Управляемые аккаунты перечислены в разделе "Работа".
Как пользователи могут обновить ОС Android до последней версии?
Обновления обычно зависят от оператора мобильной связи пользователя. Обратитесь к нему, чтобы узнать, как часто обновляется программное обеспечение.
На устройстве нет приложения Google Play. Как его установить
