Android zero touch что это

Android zero‑touch enrollment

Seamless setup and deployment of
corporate-owned devices

Fast, easy and secure

Zero‑touch enrollment enables large scale Android deployments across multiple device makers so organizations can mobilize their employees with ease.

Simplified device provisioning

Zero-touch enrollment allows IT to deploy corporate-owned devices in bulk without having to manually setup each device. Users just open the box and start using the device with management, apps and configurations all set.

Enforced management

IT can enforce management out of the box with the managing app automatically installed on setup. Customers can use their preferred enterprise mobility management provider to set policies and manage apps on the device.

Set‑up flow

Get started with just a few steps.

Purchase devices for deployment from a zero‑touch carrier or reseller.

In the zero‑touch online platform, assign your purchased devices to users.

Configure your enterprise mobility management (EMM) policies to meet your organization’s needs.

Device will automatically enroll with EMM and apply policies when powered on.

Источник

Android zero‑touch enrollment

Seamless setup and deployment of
corporate-owned devices

Fast, easy and secure

Zero‑touch enrollment enables large scale Android deployments across multiple device makers so organizations can mobilize their employees with ease.

Simplified device provisioning

Zero-touch enrollment allows IT to deploy corporate-owned devices in bulk without having to manually setup each device. Users just open the box and start using the device with management, apps and configurations all set.

Enforced management

IT can enforce management out of the box with the managing app automatically installed on setup. Customers can use their preferred enterprise mobility management provider to set policies and manage apps on the device.

Set‑up flow

Get started with just a few steps.

Purchase devices for deployment from a zero‑touch carrier or reseller.

In the zero‑touch online platform, assign your purchased devices to users.

Configure your enterprise mobility management (EMM) policies to meet your organization’s needs.

Device will automatically enroll with EMM and apply policies when powered on.

Источник

Google представляет систему регистрации Android Zero-Touch для предприятий

Теперь Google упрощает компаниям настройку устройства перед его развертыванием для своих сотрудников с помощью системы автоматической регистрации Android. Используя эту функцию, компании могут настроить свои устройства в соответствии со своими потребностями, прежде чем отправлять их своим сотрудникам.

Организации по всему миру используют устройства на базе Android в качестве рабочих телефонов, а с помощью функции регистрации без касания компания Google упростила для компаний помощь сотрудникам в получении готового к работе устройства.

Эта функция в настоящее время развертывается для устройств Pixel (в партнерстве с Verizon) и скоро станет частью будущих устройств Android от Samsung, Huawei, Sony, LG Electronics, HMD Global (Nokia), BlackBerry, HTC, Motorola, Honeywell, Зебра и Соним. Google планирует добавить в список больше OEM-производителей.

«Регистрация без касания позволяет ИТ-специалистам массово развертывать корпоративные устройства без необходимости вручную настраивать каждое устройство. Пользователи просто открывают коробку и начинают использовать устройство с установленными функциями управления, приложений и конфигураций », — говорится в сообщении Android. веб-сайт с нулевым касанием читает.

Помимо Pixel, Huawei Mate 10, Sony Xperia XZ1 и XZ1 Compact станут одними из первых устройств, которые получат поддержку регистрации Android без касания в ближайшие недели.

«Для наших бизнес-клиентов безопасное развертывание новых устройств и услуг с возможностью применения политик для конкретных устройств имеет решающее значение для защиты конфиденциальной информации и бренда организации», — говорит Райан О’Ши, вице-президент по национальным бизнес-каналам Verizon Wireless. .

«Программа регистрации Android без касания позволяет нашим бизнес-клиентам беспрепятственно и безопасно приступить к работе, и сегодня мы рады представить эту инициативу на телефоне Pixel и других будущих устройствах Android».

Организации смогут использовать программное обеспечение от поставщиков корпоративного управления мобильностью, таких как VMware AirWatch, BlackBerry, MobileIron, IBM, SOTI, GSuite и некоторых других.

Партнеры-операторы связи, предлагающие нулевое прикосновение

• США: Verizon, AT&T, Sprint, T-Mobile.
• Европа: BT, Deutsche Telekom
• Азиатско-Тихоокеанский регион: Softbank, Telstra

Эта функция не заменит QR-код или методы регистрации NFC Bump, которые по-прежнему будут доступны. Устройства Samsung также продолжат предлагать Knox Mobile Enrollment (KME). Функция Android zero-touch просто дополняет вышеупомянутые возможности.

Источник

Zero-touch iframe

With the zero-touch iframe, you can embed zero-touch directly into your EMM console to allow customers to easily configure zero-touch enabled devices with Android Device Policy. The iframe allows you to set the provisioning extras used during zero-touch device setup.

The first time an IT admin opens the iframe, they’ll be prompted to link their zero-touch account to their enterprise.

Once an IT admin has linked a zero-touch account to their enterprise, the iframe will display the list of linked zero-touch accounts. They can also see the default zero-touch configuration set for enterprise devices.

Features

This section describes the features available in the zero-touch iframe. For information on how to embed the iframe and implement these features, see Add the iframe to your console.

Link a zero-touch account to an enterprise

The iframe allows an IT admin to link their zero-touch account and their enterprise. As part of this process, the IT admin creates a default zero-touch profile to be used for devices inside of the zero-touch account. This flow is detailed below.

If the IT admin has not previously linked a zero-touch account to their enterprise, they are prompted to do so when they open the iframe.

The IT admin sees a list of zero-touch accounts and can choose one or more to link to their enterprise.

The zero-touch iframe automatically generates a zero-touch configuration. This configuration is not modifiable by the IT admin. You can customize the provisioning extras to be used in this configuration. For more information on how to do this, see iframe URL parameters.

The IT admin enters support information that appears when zero-touch enabled devices are set up. When the IT admin clicks “save”, the linking process completes and the user is redirected to the zero-touch iframe home page, where they can manage their linked accounts.

View and manage linked zero-touch accounts

The iframe allows an IT admin to view their linked zero-touch accounts and their default zero-touch profile and support information. In addition, they can link additional zero-touch accounts and unlink zero-touch accounts.

See Figure 1 for an example view of the Zero-touch iframe home page.

Viewing devices for linked accounts in the zero-touch portal

When a zero-touch account is linked to an enterprise, all devices in the zero-touch account that are not configured with a zero-touch profile are automatically configured with the Enterprise zero-touch profile.

Inside of the zero-touch console, these devices are shown with the “Enterprise default profile” configuration. The IT admin can set and unset this profile on any device in the zero-touch account. However, the profile cannot be modified.

If the zero-touch account is unlinked, all devices configured with the “Enterprise default profile” will have this profile unset. These devices can be configured with a different profile.

Add the iframe to your console

Step 1: Generate a web token

Call enterprises.webTokens.create to generate a web token that identifies the enterprise. The response contains the token’s value .

• Set parentFrameUrl to the URL of the parent frame hosting the iframe.
• Use iframeFeature to specify which features to enable in the iframe: ‘ZERO_TOUCH’. If iframeFeature is not set, then the iframe enables all features by default.

You need to include the returned token, along with other parameters, when rendering the iframe in your console.

Step 2: Render the iframe

Here’s an example of how to render the zero-touch iframe:

This code generates an iframe inside the container div. Attributes to be applied to the iframe tag can be set with the ‘attributes’ option, as above.

iframe URL parameters

The table below lists all the available parameters for the iframe that can be added to the URL as URL parameters, e.g.:

Parameter	Required	Description
token	Yes	The token returned from Step 1.
dpcId	Yes	The package name of the DPC app. You should always set this to the ID of Android Device Policy, com.google.android.apps.work.clouddpc .
dpcExtras	No	URL-encoded JSON object containing provisioning extras. These are passed to the DPC during device setup.

Example URL, assuming:

• Web Token from API: abcde
• DPC: com.google.android.apps.work.clouddpc
• DPC Extras:

URL encoded, this URL would be:

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see the Google Developers Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

Источник

Zero-click атаки: Когда ваша безопасность не зависит от вас

Zero-click или zero-touch – это удаленная атака на устройство, не требующая от пользователя никаких дополнительных действий. Она может быть проведена по воздуху (OTA, over-the-air): достаточно, чтобы жертва была в радиусе действия нужного беспроводного канала связи. О таких атаках мы и поговорим в этой статье.

Вместо введения

Оригинал.

0-click атаки не требуют никаких действий от пользователя. 1-click атаки требуют совершить какое-то действие. По большому счету, почти все атаки на серверные приложения можно отнести к 0-click, но наша статья не о серверном ПО. Появление 1-click и 0-click атак связано с массовым распространением мобильных устройств, роста покрытия сети и количества Wi-Fi точек. Ввиду активного интернет-серфинга, мобильные устройства хранят много личной и конфиденциальной информации. Конечной целью атакующего являются как раз эти данные пользователя, которые теперь хранятся не на сервере или домашнем компьютере, а прямо у него в кармане.

За последние 10 лет вся наша информация и общение перебрались с десктопов в мощные мобильники с кучей умного железа. Таким образом, пространство для атак (attack surface) сильно увеличилось.

Раньше считалось, что фаервол обеспечивает относительную безопасность пользователя. Но сейчас ясно, что все находятся под угрозой взлома, а главное – атака может быть незаметной.

Как это возможно?

При этом жертва должна сделать ровно 0 кликов, касаний, или переходов! Такую атаку трудно предотвратить, и невозможно обвинить жертву в том, что она перешла по фишинговой ссылке из сообщения или открыла какой-то документ. В некоторых источниках эту же атаку называют “fully remote” или “interaction-less” – единого термина нет.

«Удобство» такой атаки в том, что злоумышленнику не надо проводить сессии социальной инженерии, чтобы убедить пользователя щелкнуть по ссылке или открыть документ. Все происходит незаметно, и пользователь может и вовсе не понять, что произошла атака. Если идти по классическому пути через атаку на пользовательское приложение, то там почти все уже облеплено различными security mitigations. А если идти со стороны разных SoC, то велика вероятность встретить систему без security mitigations, что, конечно же, упрощает работу атакующего.

Что за специально сформированные данные?

Это может быть все, что угодно:

• Служебные данные при общении устройства с сотовой вышкой (OTA команды)
• Пакеты канального уровня
• Ответы на аутентификацию
• SMS сообщения
• MMS сообщения
• Голосовые сообщения
• Видео-конференции
• Сообщения в ваш любимый мессенджер (Skype, WhatsApp, Viber, FaceTime, Telegram и т.д.)
• Звонки
• etc.

Все перечисленное может вызвать срабатывание уязвимости либо в прошивке чипа, либо в коде программы, который отвечает за его обработку. К большому сожалению, даже код, отвечающий за раннюю стадию обработки данных, содержит уязвимости.
В качестве бонуса рекомендуем статью от Natalie Silvanovich из Google Project Zero «The Fully Remote Attack Surface of the iPhone».

Есть ли реальные примеры?

Интерес к подобным атакам в исследовательских кругах появился достаточно недавно, и сейчас они набирают большую популярность. Из работ в данной области можно выделить следующие (список не претендует на полноту):

В области Baseband:

Примечание по эксплуатации baseband-процессора:
Про эксплуатацию baseband’ов с помощью вредоносной базовой станции, стоит отметить, что, начиная c 3G, большинство пакетов должны быть аутентифицированы специальным ключом. Цитата из работы «Exploitation of a Modern Smartphone Baseband»: “This is because originally 2G (second generation) networks considered the BTS (base station) as a trusted component, out of reach from attackers. So the phone will blindly trust anyone posing as a BTS. This makes it possible to build a fake BTS and launch attacks over the air. Only the base station is authenticating the mobile phone, but not vice versa. After the advent of SDR, it becomes clear that now the BTS cannot be trusted anymore. Nowadays it’s very cheap to build a fake base station and attack mobile phones. For this reason in 3G networks and newer the approach changed. Now the mobile phone, leveraging keys in the SIM card, will authenticate the 3G or newer base station usually. This removes lot of attack surfaces in 3G and newer networks, which require to bypass authentication.”

В связи с тем, что большинство современных baseband поддерживают 3G и 4G и сети используют новые стандарты (они более приоритетные), то атакующему нужны дополнительные приемы, которые позволяют выполнить downgrade дефолтного способа подключения (до 2G) в клиентском модеме.

Возможны нюансы, и все от конкретной реализации того или иного чипа.

В области Bluetooth:

В области мессенджеров:

Проанализировав приведенные выше работы, можно понять, что помимо непосредственно уязвимости удаленного исполнения кода для успеха серьезной атаки, как правило, необходимы дополнительные уязвимости, повышающие привилегии в системе (в случае с мессенджерами) или приводящие к переносу исполнения кода с периферийного чипа (Wi-Fi, baseband, etc.) на основной процессор (Application Processor). Только собрав цепочку уязвимостей, можно добиться полной компрометации устройства.

Реальные инциденты с использованием zero-click сложно зафиксировать. Однако если обратиться к 1-click, то сразу вспоминаются атака с использованием вредоносного кода Pegasus, расследование «A very deep dive into iOS Exploit chains found in the wild» и недавняя CVE-2019-11932 в WhatsАpp, приводящая к RCE.

[PoC] CVE-2019-11932 Whatsapp 2.19.216 Remote Code Execution

1. set the listner ip (nc -lvp 5555)
2. run ./exploit and save the content to .gif
3. exploit.gif file and send it as Document with WhatsApp to another WhatsApp userhttps://t.co/dpeiJOpg4mhttps://t.co/lXWWAcq8Y4 pic.twitter.com/JWwNDm4EDY

Соревнование Mobile Pwn2own 2019

Интерес к подобным атакам проявили и организаторы соревнований pwn2own, хотя раньше там были только браузеры и ОС. Впервые они появились в 2015 году, а в 2019 на PWN2OWN TOKYO были такие категории, как:

• Short Distance: атака проходит при взаимодействии по Wi-Fi, Bluetooth, NFC;
• Messaging: атака при просмотре или получении MMS или SMS сообщения;
• Baseband: атака проходит при взаимодействии с базовой станцией.

А среди целевых устройств были:

• Xiaomi Mi 9
• Samsung Galaxy S10
• Huawei P30
• Google Pixel 3 XL
• Apple iPhone XS Max
• Oppo F11 Pro (только в категории baseband)

В зависимости от категории и цели приз составлял от 30.000$ до 150.000$.

Success! The @fluoroacetate duo got the #Samsung Galaxy S10 to connect to their rogue base station and then pushed a file to the phone. Third year in a row. Off to the disclosure room to get all the details. pic.twitter.com/y5fpJcf3t9

По результатам имеем следующую картину:

• Samsung Galaxy S10 был взломан через NFC. Уязвимость UaF в JavaScript JIT;
• Samsung Galaxy S10 был взломан через baseband. Уязвимость переполнение на стеке;
• Xiaomi Mi9 был взломан через NFC. Уязвимость XSS.

Да, не все из проведенных атак были zero-click, но тенденция показательна.

Рынок эксплойтов

Интерес к zero-click проявляют и эксплойт-брокеры, которые за такие цепочки эксплойтов предлагают до 3 миллионов долларов.

И ценник других брокеров.

Рекомендации

Единственное, что можно посоветовать и что способен сделать рядовой пользователь — это своевременно ставить все обновления, чтобы поддерживать ОС, прошивки и приложения в актуальном состоянии. Это позволит максимально снизить вероятность успешного проведения атаки.

Вывод

Zero-click атаки сложны в реализации и, как правило, требуют выполнения ряда условий, что не дает им широкого распространения. Тем не менее, они способны нанести огромный урон, оставаясь при этом незамеченными.

Источник