Zabezpečení s Androidem: Kterým mobilům mohou firmy věřit?

Dokonce i v oblastech, kde dominuje Apple iPhone nebo má srovnatelný podíl na trhu, firmy podporují nebo poskytují zařízení Android alespoň jako sekundární možnost.

Zabezpečení platformy Android je již dlouhou dobu starostí především oddělení IT, a to i přes významná zlepšení zabezpečení této platformy před deseti lety v reakci na bezpečnostní standardy zavedené pro telefony iPhone, které díky tomu rychle získaly pečeť schváleného zabezpečení.

V důsledku toho mají ředitelé zabezpečení informací (CISO) složité rozhodování o nákupu a podpoře související s telefony Android, a to nehledě na formu – tedy zda jde o podniková zařízení (firmy je kupují pro své zaměstnance), nebo přístroje pracovníků, kdy se soukromé zařízení zaměstnance použije pro firemní účely (BYOD, Bring Your Own Device), kde mohou pracovníci IT přistupovat minimálně k pracovnímu e-mailu a kalendářům a často k webovým službám.

V následujícím textu popisujeme klíčové aspekty zabezpečení platformy Android a klasifikujeme hlavní dodavatele této technologie na základě úrovně zabezpečení, aby měli pracovníci IT více podkladů pro snadnější rozhodování o nákupu a podpoře.

Bezpečnostní aspekty zařízení Android

Apple kontroluje platformu svého operačního systém iOS a telefonů iPhone poměrně přísně, což CISO dává jistotu ohledně aktualizací softwaru, bezpečnostních oprav a spravovatelnosti.

Naproti tomu svět Androidu je velmi rozmanitý, s desítkami výrobců využívajících tuto operační platformu, ale zároveň nabízí i různé úrovně kvality či podpory a v mnoha případech dokonce jen nekonzistentní aktualizace OS a zabezpečení.

Na počátku existence Androidu byla hlavní starostí oddělení IT bezpečnost rozvíjejícího se trhu smartphonů. Firma Research in Motion se svojí platformou BlackBerry nastavila v devadesátých a následujících letech vysoké standardy mobilní bezpečnosti, přičemž první zařízení s Androidem i iOS očekávání oddělení IT nesplňovala.

Apple a Samsung ale po roce 2010 mobilní zabezpečení zlepšily na přinejmenším stejnou úroveň, jako byla u BlackBerry, Google se přidal až o několik let později tím, že vytvořil šifrovací standard pro Android a následně vytvořil kontejnerovou separaci pracovních a osobních dat a aplikací v roce 2015 jako standardní součást verze operačního systému Android 5.0 Lollipop. V roce 2017 už měl Android silné funkce zabezpečení.

Důmyslnější funkce zabezpečení začaly být dostupné přes různá rozšíření hardwaru a softwaru – šlo třeba o Knox společnosti Samsung v roce 2013 určený pro podniková zařízení nebo o Android for Work (později přejmenovaná na Android Enterprise) od Googlu, která byla určená pro zbytek světa Androidu.

Podpora Android Enterprise se stala v roce 2018 standardní funkcí verze systému Android 9.0 Pie.

Dnes se může oddělení IT spolehnout na to, že všechna zařízení Android už mají základní úroveň potřebného zabezpečení. Někteří uživatelé – například vysoce postavení manažeři pracující s citlivými podnikovými daty, personál provozu a správy kritické infrastruktury a dodavatelských řetězců – však potřebují lepší způsob ochrany.

Zastoupení dodavatelů zařízení s Androidem se po celém světě velmi liší, takže se také odlišují možnosti volby vhodně zabezpečených zařízení v místě působnosti vaší firmy.

Podle nedávné tabulky časopisu Computerworld, kde je přehled významné tržní dostupnosti od jednotlivých dodavatelů, jsou vidět možní kandidáti pro danou oblast. Podle údajů StatCounter má třináct současných dodavatelů alespoň procentní podíl v minimálně jednom regionu (řazeno abecedně):

• Google
• Huawei
• Infinix Mobility
• Itel Mobile
• Motorola Mobility (vlastníkem je Lenovo)
• Nokia
• OnePlus
• Oppo
• Realme Chongqing Telecommunications
• Samsung Electronics
• Tecno Mobile
• Vivo Mobile Communication
• Xiaomi

Google přišel s certifikací AER (Android Enterprise Recommended, tj. Android s doporučením pro podniky), která se zaměřuje na podnikové aspekty týkající se chování, správy zařízení, hromadné registrace přístrojů a závazků pro aktualizace zabezpečení.

Google zveřejňuje nástroj AER, aby pomohl personálu IT zjistit, jaká zařízení splňují tuto certifikaci v různých regionech, a také zjistit podporované verze Android a datum ukončení dostupnosti aktualizací zabezpečení.

Mějte však na paměti, že mohou být výsledky nástroje AER zastaralé a neúplné, takže se na něj nespoléhejte výhradně.

Existují tři úrovně zabezpečení platformy Android, které je potřebné uvážit, a mnoho organizací bude potřebovat více než jednu, aby tak pokryly různé skupiny zaměstnanců.

• Základní zabezpečení Android

Tato úroveň je vhodná pro osobní zařízení používaná pro přístup k základním firemním systémům, jako je například e-mail. Poskytuje například šifrování zařízení, vynucení používání hesel, vzdálený zámek, nevratné smazání a spouštění bezpečnostních funkcí v odděleném zabezpečeném prostoru.

Všechna současná zařízení Android tuto úroveň podporují, a obsahují dokonce i podporu základního nástroje pro správu, jako je Google Workspace nebo Microsoft 365.

• Střední zabezpečení Android

Tato úroveň je vhodná pro případy, kdy oddělení IT vyžaduje nebo umožňuje používání osobních zařízení pro přístup k podnikovým informacím a aplikacím, a pro případ podnikem vydávaných zařízení s povolením použití pro osobní účely.

Poskytuje totéž co základní úroveň a navíc nabízí oddělení pracovních dat a aplikací od těch osobních prostřednictvím kontejnerů a platformy jednotné správy koncových bodů (UEM, Unified Endpoint Management), která podporuje platformu Google Android Enterprise nebo v případě zařízení Samsung platformu Samsung Knox.

Všechna současná zařízení Android s nejméně 3 GB paměti RAM podporují oddělení pracovní a osobní oblasti, ale některé platformy UEM mohou požadovat, aby měla řešení novější verzi operačního systému Android, než mají zařízení ve vaší organizaci.

• Pokročilé zabezpečení Android

Tato úroveň je vhodná pro vedoucí pracovníky, pro oddělení lidských zdrojů či financí a také pro každého, kdo pracuje s důležitými daty a systémy, jako jsou například vládní úředníci, armáda, finance, zdravotnictví a kritická infrastruktura.

Pokročilá úroveň poskytuje totéž co střední úroveň a navíc zabezpečení založené na čipu, které umožňuje omezit neoprávněný přístup ze strany špionů a hackerů. Splňuje také nejnovější bezpečnostní standard Common Criteria stanovený vládou USA.

Přečtěte si také:

Apple se se zpožděním chystá na generativní AI

Zabezpečení na úrovni čipu detekuje hackování operačního systému, firmwaru, paměti a dalších základních systémů a na základě toho zařízení zamkne či vypne. Využívá u toho službu Android Keystore.

Takové zabezpečení na úrovni hardwaru sice není požadavkem AER (Android Enterprise Recommended), ale je nezbytné pro zabezpečení na armádní úrovni.

Ochranu integrity systému zabezpečením na úrovni čipu používá jen několik zařízení: Telefony Samsung zabezpečené platformou Knox využívají čip Arm TrustZone pro svůj Trusted Boot, dále telefony Google Pixel využívají vlastní čip Titan-M pro své prostředí TEE (Trusted Execution Environment) a konečně také Motorola uvádí, že všechna její zařízení Android využívají Arm TrustZone pro její řešení Strongbox. Poznámka: telefony Apple iPhone mají takovou funkci díky řešení Secure Enclave.

Ostatní dodavatelé platformy Android neodpověděli na dotazy autora příspěvku ohledně jejich bezpečnostních schopností, ale podle specifikací z jejich webových stránek se zdá, že zabezpečení založené na hardwaru nepodporují.

Standard Common Criteria určuje specifické bezpečnostní přístupy, u kterých americká vláda ví, že na ně může spoléhat u více různých zařízení. Přestože není součástí požadavků AER, je dobrý z hlediska pokročilého zabezpečení IT při použití kdekoli ve světě.

Přečtěte si také:

Hackeři už kradou i věrnostní body od aerolinek nebo z hotelů

Mezi produkty s Androidem od různých dodavatelů, které odpovídají standardu Common Criteria, patří některé modely od firem Google, Huawei, Motorola, Oppo, Samsung a Sony a také některá specializovaná zařízení firem Honeywell a Zebra Technologies (aktuální seznam získáte pomocí filtru „Mobility“ na webu Common Criteria – commoncriteriaportal.org/products/). Telefony Apple iPhone vyhovují také.

Vládní certifikace

Organizace mohou chtít použít různé vládní certifikace, aby zjistily vhodná zařízení Android pro citlivé případy využití. Když Apple a Samsung získaly v minulé dekádě schválení od Ministerstva obrany USA, od vlády Velké Británie (UK Government Communications Headquarters) a od Austrálie (Australian Signals Directorate) k použití jejich zařízení podnikové třídy, byla to významná zpráva – rozbilo to v této oblasti dlouhotrvající monopol společnosti BlackBerry.

Dnes jsou ale taková oznámení už vzácná a vlády se namísto toho zaměřují na zajištění toho, aby se používaly schválené platformy UEM pro správu široce používaných telefonů iPhone a Android.

Například americké ministerstvo obrany nedávno v rámci používání standardu Common Criteria odsouhlasilo pro citlivé účely použití několika telefonů Samsung a některá specializovaná zařízení společností Honeywell a Zebra Technologies. Austrálie také nedávno schválila několik telefonů Samsung.

Záruky zabezpečení

Oddělení IT dnes už požaduje záruky, že zařízení budou dostávat aktualizace zabezpečení a operačního systému (OS) několik let, aby se omezilo riziko úspěšnosti útoků využívajících stará řešení, která v zabezpečení zaostala.

Certifikace AER vyžaduje jen jeden budoucí upgrade operačního systému. Pro aktualizace zabezpečení nemá minimum a vyžaduje pouze to, aby dodavatelé zveřejnili své závazky aktualizací na svých webových stránkách, ale tyto informace může být někdy těžké najít.

V autorově průzkumu webů dodavatelů je typickou dobou závazku aktualizací zabezpečení tři roky až pět let pro zařízení firemní kategorie a jednu až tři budoucí verze operačního systému Android. Naproti tomu Apple obvykle poskytuje sedm let aktualizací zabezpečení a pět let aktualizací systému iOS.

Přečtěte si také:

Jak bude vypadat IT v roce 2025 a jak se na to připravit z pozice IT ředitele?

Nejhorší situace z hlediska aktualizací OS je u dodavatelů Motorola, Oppo a Xiaomi se závazkem jen jednoho hlavního upgradu systému Android pro jejich modely podnikové třídy. Google a Samsung jsou na tom z hlediska závazku aktualizací nejlépe.

Dodavatelé se zveřejněnými závazky pro u nově pořizovaných Android zařízení podnikové třídy:

• Google: pět let pro aktualizace zabezpečení, tři roky pro upgrade OS
• Motorola: tři roky pro aktualizace zabezpečení, jeden rok pro upgrade OS
• Nokia: tři roky pro aktualizace zabezpečení, dva roky pro upgrade OS
• OnePlus: čtyři roky pro aktualizace zabezpečení, tři hlavní upgrady OS
• Oppo: tři roky pro aktualizace zabezpečení, jeden rok pro upgrade OS
• Realme: tři roky pro aktualizace zabezpečení, dva hlavní upgrady OS
• Samsung: „minimálně“ čtyři roky pro aktualizace zabezpečení, tři „generace“ pro upgrade OS
• Vivo: tři roky pro aktualizace zabezpečení, tři roky pro upgrade OS
• Xiaomi: tři roky pro aktualizace zabezpečení, jeden hlavní upgrade OS

Nepodařilo se najít informace o aktualizacích na webech Huawei, Infinix, Itel a Tecno a  společnosti neodpověděly ani na žádosti o tyto informace.

U certifikovaných zařízení lze také použít nástroj AER ke zjištění konce aktualizací zabezpečení pro konkrétní modely od různých dodavatelů. Jen mějte na paměti, že tento nástroj nemusí obsahovat nejnovější modely.

Doporučujeme také ověřit, zda dodavatelé dělají to, co slibují – vezměte nějaká starší zařízení a zjistěte si jejich prostřednictvím dostupnost nejnovějších aktualizací zabezpečení: byla u nich dodržena přislíbená doba trvání?

Nakonec mějte na paměti, že mobilní operátoři mohou v mnoha zemích potlačit, zpomalit, nebo dokonce i zablokovat aktualizace, a změnit tak dostupnost toho, co dodavatel zařízení slíbil.

Přečtěte si také:

AMD hlásí, že brzy vyjdou nové Radeon 7000 GPU pro „nadšence“

Například Google na své stránce věnované telefonům Pixel uvádí, že telefony koupené přímo od něj často dostanou aktualizace dříve než kusy koupené přes mobilního operátora.

Tento vliv mobilních operátorů je ale dlouhodobou záležitostí a sahá do doby ještě před nástupem moderních mobilních zařízení. Kontrolu nad dostupností aktualizací si u mobilních operátorů dokázal prosadit jen Apple.

Průvodce pořízením

Trh platformy Android lze rozdělit na čtyři třídy garance zabezpečení na základě toho, jak dodavatelé přistupují k hlavním aspektům podnikového zabezpečení IT:

• Pokročilé zabezpečení: tito dodavatelé poskytují vysoké úrovně zabezpečení vhodné i pro vládní a armádní využití a přístup k citlivým údajům.
• Střední zabezpečení: tito dodavatelé poskytují odpovídající úrovně zabezpečení a adekvátní garanci aktualizací pro základní použití, jako jsou aplikace pro produktivitu a webové nástroje.
• Základní zabezpečení: tito dodavatelé poskytují odpovídající úrovně zabezpečení, ale neadekvátní zajištění aktualizací.
• Nedůvěryhodné: tito dodavatelé nemají důvěru významných vlád pro používání jejich produktů.

• Zařízení s pokročilou úrovní zabezpečení

Existuje jen jeden dodavatel přístrojů s Androidem, který poskytuje globální dostupnost zařízení a podnikovou třídu (dokonce armádní třídu) zabezpečení a navíc s víceletou aktualizací softwaru i zabezpečení – a tím je Samsung.

To z této společnosti dělá nejlepší (a často i jedinou) volbu pro podniková zařízení s Androidem v každé oblasti světa. Její modely podnikové třídy (v terminologii Samsungu jde o přístroje s označením Android Secured by Knox) zahrnují následující řady: Galaxy S, Galaxy A5×, Galaxy A3×, Note, XCover, Z Flip3 a Z Fold3.

Pro tyto modely je přislíbená aktualizace zabezpečení na dobu pěti let po prvním vydání. Samsung zveřejňuje bezpečnostní životnost pro svá zařízení podnikové třídy s rozlišením podle zařízení.

Přečtěte si také:

Nové nastavení ve Windows 11 zabrání aplikacím, aby vás špehovaly

Telefony řady Google Pixel 7 jsou podobně bezpečné. Google také slibuje pět let bezpečnostních aktualizací po prvním vydání. Řada Pixel 7 je však oficiálně k dispozici jen v omezeném počtu zemí – v Austrálii, Kanadě, Dánsku, Francii, Německu, Indii, Irsku, Itálii, Japonsku, Nizozemsku, Norsku, Singapuru, Španělsku, Švédsku, Tchaj-wanu, Velké Británii a ve Spojených státech.

Zařízení podnikové třídy od společnosti Motorola, jako jsou modely Edge 30 Fusion nebo Ultra, jsou podobně bezpečné. Jsou dostupné v 65 zemích včetně většiny Evropy a Latinské Ameriky, Austrálie, Nového Zélandu, Indie, Číny, Tchaj-wanu, Hongkongu, Jižní Koreje, Japonska, Thajska, Filipín, Malajsie, Saúdské Arábie, SAE, Kanady, USA a Velké Británie.

Motorola však poněkud zaostává v podpoře aktualizací: zavazuje se na pouhé tři roky pro aktualizace zabezpečení a jen jeden hlavní update operačního systému Android.

• Zařízení se střední úrovní zabezpečení

Nejbezpečnější zařízení Android jsou ale často příliš drahá pro řadové zaměstnance – pro firmy, které by je měly kupovat někomu jinému než manažerům pracujícím s citlivými informacemi. Podobně jsou nejbezpečnější zařízení často příliš drahá na to, aby si je zaměstnanci kupovali pro sebe pro scénáře BYOD.

Naštěstí někteří dodavatelé platformy Android nabízejí řadu levnějších telefonů s přiměřenou cenou, které stále nabízejí dobrou kvalitu a přijatelnou úroveň zabezpečení: jde o firmy Nokia, OnePlus, Oppo, Sony nebo Xiaomi.

Také Samsung v této kategorii nabízí několik levnějších telefonů s odpovídajícím zabezpečením. Motorola poskytuje pro střední úroveň zabezpečení své modely Moto G a Edge Neo.

• Zařízení se základní úrovní zabezpečení

Přestože nabízejí standardní funkce zabezpečení platformy Android, jako mají zařízení ve skupině se středním zabezpečením, je potřeba u dodavatelů Infinix, Itel, Realme, Tecno a Vivo pamatovat na dva aspekty, kvůli kterým by se jim měly organizace vyhnout, pokud to jde, a maximálně omezit jejich použití na základní scénáře BYOD. Jsou jimi:

• Nejistá úroveň podpory zabezpečení a upgradů operačního systému, která může způsobit, že zařízení začnou zaostávat v zabezpečení, přestože u nich na počátku byly požadavky standardů splněné.
• Navíc často trpí problémy s kompatibilitou aplikací, což naznačuje špatnou základní implementaci Androidu, upozorňuje Kiranjeet Kaur, analytik IDC.

 Zařízení s nedůvěryhodnou úrovní zabezpečení 

Přestože na základě technických specifikací by měla jeho zařízení patřit do skupiny se základním zabezpečením, spadají produkty společnosti Huawei do třídy nedůvěryhodných řešení, která by personál IT vůbec neměl povolit.

Zařízení Huawei v databázi Google AER nenajdete. Google je odstranil v roce 2019 po veřejných obviněních ze strany vlády USA, že tyto přístroje špehovaly uživatele přes zadní vrátka v zájmu čínské vlády.

Tyto obavy nejsou nové: už v roce 2012 hovořil autor tohoto příspěvku s několika úředníky americké zpravodajské služby a s armádními dodavateli na neoficiální konferenci ředitelů IT, kde zaznívaly stejné obavy týkající se společností Huawei, ZTE a dalších čínských počítačových a telekomunikačních výrobců.

Tehdy (pod administrativou prezidenta Obamy) američtí zpravodajští úředníci neveřejně varovali firemní ředitele IT o údajné špionážní činnosti produktů Huawei v celém jeho technologickém portfoliu.

Tyto obavy z údajné špionáže společnosti Huawei přestaly být skryté – administrativy prezidentů Trumpa a Bidena je už vyslovily veřejně. Několik dalších vlád také vzneslo stejná obvinění, ale společnost Huawei je soustavně odmítá jako nepodložená.

Protože jsou zařízení Huawei na několika trzích populární – samozřejmě v Číně, ale také v mnoha částech Afriky, Evropy, Středního východu a Jižní Ameriky, mohou znepokojení pracovníci IT oddělení použít nástroje pro správu, aby zablokovali přístup ke zdrojům z produktů Huawei a dalších nedůvěryhodných zařízení.

Nezapomeňte si ale zkontrolovat, zda váš správní nástroj dokáže blokovat přístup na základě dodavatele zařízení. Blokaci na základě dodavatele zařízení nabízejí podle svých webových stránek například tyto platformy jednotné správy: BlackBerry UEM, Microsoft Intune a VMware Workspace One.