Vil gjøre Android-mobiler mer «bedriftsvennlige»

[Kurt Lekanger]

Google med nytt anbefalingsprogram for Android-mobiler.

Vil gjøre Android-mobiler mer «bedriftsvennlige»

[tigerdyr]

Det er en uting.  Absolutt ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang" og kan gjøre absolutt alt med den.  Det er en gigantisk sikkerhetsbrist for den ansatte som har en firmamobil fra jobben (og skattes for det!), men hvor al bruk, herunder mail, meldinger, bilder osv.. kan monitoreres av bedriften, for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

[StigVidar]

Det er en uting.  Absolutt ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang" og kan gjøre absolutt alt med den.  Det er en gigantisk sikkerhetsbrist for den ansatte som har en firmamobil fra jobben (og skattes for det!), men hvor al bruk, herunder mail, meldinger, bilder osv.. kan monitoreres av bedriften, for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

 

Er det virkelig så mange som har en slik telefon,da?

Jeg har telefon betalt av arbeidsgiver, men det er en standard telefon som kommer rett fra butikk og som jeg har satt opp selv med den programvaren jeg ønsker.

[ozone]

...ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang"...

...for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

 

Jeg er til dels enig med deg. Men dette er jo et unikt verktøy på mange arbeidsplasser, så løsningen er jo å utelukkende bruke den mobilen til jobb, og ikke privat.

[j--]

 

Det er en uting.  Absolutt ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang" og kan gjøre absolutt alt med den.  Det er en gigantisk sikkerhetsbrist for den ansatte som har en firmamobil fra jobben (og skattes for det!), men hvor al bruk, herunder mail, meldinger, bilder osv.. kan monitoreres av bedriften, for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

Er det virkelig så mange som har en slik telefon,da?

Jeg har telefon betalt av arbeidsgiver, men det er en standard telefon som kommer rett fra butikk og som jeg har satt opp selv med den programvaren jeg ønsker.

 

Det er normalt, ja. Mine tre siste jobber har hatt Android-mobiler med Exchange satt opp, og dermed full styring via Exchange. Litt usikker på hvor mye som kan hentes ut den veien, men man må godkjenne en hel haug av tilganger på telefonen, definert i Exchange, for å få lov til å kommunisere med Exchange.

[mongojarle]

Er det ikke bare å drite i exchange? Jeg har en snarvei på skjermen som tar meg rett til Outlook webmail. Så slipper jeg hele exchange.

 

Dog,jeg mangler da selfølgelig jobb kalender i kalender-appen på telefonen, og jeg kan ikke søke etter jobb-kontakter i kontaktlisten. Men det er ikke værre enn å bruke webmail kalenderen, også har jeg Skype app for jobb-kontakter.

 

Grunnen til at jeg gjør det slik er at ellers måtte jeg harr en airwatch app der alt gikk gjennom, så hadde ikke fått kalender og kontakter uansett.

[Civilix]

Vet ikke hvordan det er med andre bedrifter men her kjører vi bedriftsapplikasjoner i en sandkasse på android telefonen, så det er ett skarpt skille mellom det som er jobb og det som er privat.

 

For øvrig lurer jeg litt på hvor lenge kravet om sikkerhetsoppdateringer gjelder skal de gi ut oppdateringer i evig tid slik apple gjør, ett spørsmål er også om det er snakk om 90 dager for ett modellnummer på ett språk eller alle modellnummer og språk. Det er jo ikke en ukjent problemstilling for oss her i Norge at våre nordiske modeller får senere oppdateringer.

 

Spennende at google vil prøve seg på dette markedet men tror nok de skal ha problemer med å komme på apple nivå.

 

redigert: For øvrig kan du ikke hente ut data fra telefonen bare ved å ha satt opp en exchange kobling, tilgangene trenger den for sikkerhetspolicyer og integrasjoner.

Endret 22. februar 2018 av Civilix

[tigerdyr]

 

Det er en uting.  Absolutt ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang" og kan gjøre absolutt alt med den.  Det er en gigantisk sikkerhetsbrist for den ansatte som har en firmamobil fra jobben (og skattes for det!), men hvor al bruk, herunder mail, meldinger, bilder osv.. kan monitoreres av bedriften, for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

Er det virkelig så mange som har en slik telefon,da?

Jeg har telefon betalt av arbeidsgiver, men det er en standard telefon som kommer rett fra butikk og som jeg har satt opp selv med den programvaren jeg ønsker.

 

Her ber de folk sette opp exchange konto for å få mail og kalender rett inn på telefonen, men for å kjøre det, krever exchangeserveren bortimot full kontroll over telefonen, herunder blant annet tilgang til komplett remote wipe av telefonen.  For min del sa jeg at det var helt uaktuelt å godta, men de fleste her har gjort det. 

[tigerdyr]

redigert: For øvrig kan du ikke hente ut data fra telefonen bare ved å ha satt opp en exchange kobling, tilgangene trenger den for sikkerhetspolicyer og integrasjoner.

 

For min del ville ikke telefonen hente mail fra exchangeserveren uten jeg ville gi fra meg de tilgangene.   

[Civilix]

For min del ville ikke telefonen hente mail fra exchangeserveren uten jeg ville gi fra meg de tilgangene.   

 

Dette er ett problem med android, at tilgang styringen ikke er detaljert nok så en app må alltid spørre om mer rettigheter enn den trenger. Men det er ikke noen mulighet over en standard exchange server å hente ut vilkårlige filer fra din telefon. med mye tid og innsats kan du sikkert lage ett tillegg til exchange serveren som gjør det mulig med en modifisert klient på telefonen men det ville vært ett mareritt for enhver driftsorganisasjon å vedlikeholde så svært lite sannsynlig. Foruten det måtte bedriften ha fått signatur fra deg på at de skulle hatt lov til å hente ut data fra telefonen da det ikke er en automatisk rett på en slik enhet.

 

Men uansett burde enhver bedrift kjøre bedriftsapplikasjoner i sandkasse på telefonen, for nettopp å hindre sammenblandingen mellom hva som er jobb og privat.

[ozone]

Det er ikke så veldig vanskelig å ha egen privat mobil, og et arbeidsverktøy på jobb som tilfeldigvis er en mobil...?

Du hører aldri om en snekker som nekter å bruke jobbens hammer fordi har har egen privat hammer i lommen.

 

Nei; drit i hva bedriften gjør med mobilen sin, så lenge du vet at du legger den fra deg på jobb hver dag, og kun snakker jobb i den.

Endret 22. februar 2018 av ozone

[StigVidar]

 

 

Det er en uting.  Absolutt ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang" og kan gjøre absolutt alt med den.  Det er en gigantisk sikkerhetsbrist for den ansatte som har en firmamobil fra jobben (og skattes for det!), men hvor al bruk, herunder mail, meldinger, bilder osv.. kan monitoreres av bedriften, for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

Er det virkelig så mange som har en slik telefon,da?

Jeg har telefon betalt av arbeidsgiver, men det er en standard telefon som kommer rett fra butikk og som jeg har satt opp selv med den programvaren jeg ønsker.

 

Her ber de folk sette opp exchange konto for å få mail og kalender rett inn på telefonen, men for å kjøre det, krever exchangeserveren bortimot full kontroll over telefonen, herunder blant annet tilgang til komplett remote wipe av telefonen.  For min del sa jeg at det var helt uaktuelt å godta, men de fleste her har gjort det. 

 

 

Full kontroll over telefonen via exchange er ikke mulig.

 

​Her er det en kan styre. Skal en inn på telefonen og hente ut data så må en bruke andre verktøy enn exchange sin sikkerhets policy.

 

https://technet.microsoft.com/en-us/library/jj945882(v=exchg.150).aspx

[mandela]

Vet ikke hvordan det er med andre bedrifter men her kjører vi bedriftsapplikasjoner i en sandkasse på android telefonen, så det er ett skarpt skille mellom det som er jobb og det som er privat.

 

For øvrig lurer jeg litt på hvor lenge kravet om sikkerhetsoppdateringer gjelder skal de gi ut oppdateringer i evig tid slik apple gjør, ett spørsmål er også om det er snakk om 90 dager for ett modellnummer på ett språk eller alle modellnummer og språk. Det er jo ikke en ukjent problemstilling for oss her i Norge at våre nordiske modeller får senere oppdateringer.

 

Spennende at google vil prøve seg på dette markedet men tror nok de skal ha problemer med å komme på apple nivå.

 

redigert: For øvrig kan du ikke hente ut data fra telefonen bare ved å ha satt opp en exchange kobling, tilgangene trenger den for sikkerhetspolicyer og integrasjoner.

Det med "Apple nivå" virker å være en hard myte å knekke. Noen analysebyråer vil mene at IOS samlet sett har ligget bak Samsung sin KNOX løsning i 2-3 år nå, og i seneste rapport fra Gartner havner IOS11 bak plain Android 8:

 

http://s7d2.scene7.com/is/content/SamsungUS/samsungbusiness/solutions/samsung-knox/pdf/MobileDeviceSecurity-AComparisonofPlatforms-Feb12-2.pdf

 

Når det gjelder oppdateringer, og da Samsung som eksempel, så er det forskjell på funksjons-og -bugfixoppdateringer og sikkerhetsoppdateringer. Sistnevnte skal rulles ut i alle regioner innen samme tidsramme, det forekommer dog avvik hvis man ser på det historiske datamateriale på sammobile.

 

https://security.samsungmobile.com/workScope.smsb

 

 

Kan grunnen til at Samsung glimrer med sitt fravær være at deres Knox løsning er i en konkurrentsituasjon med Google sin nye løsning? Google kommer jo som kjent etter med funksjonalitet i forhold til produsenter og konkurrenter.

Endret 22. februar 2018 av mandela

[Øystein Hansen]

 

 

Det er en uting.  Absolutt ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang" og kan gjøre absolutt alt med den.  Det er en gigantisk sikkerhetsbrist for den ansatte som har en firmamobil fra jobben (og skattes for det!), men hvor al bruk, herunder mail, meldinger, bilder osv.. kan monitoreres av bedriften, for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

Er det virkelig så mange som har en slik telefon,da?

Jeg har telefon betalt av arbeidsgiver, men det er en standard telefon som kommer rett fra butikk og som jeg har satt opp selv med den programvaren jeg ønsker.

 

Her ber de folk sette opp exchange konto for å få mail og kalender rett inn på telefonen, men for å kjøre det, krever exchangeserveren bortimot full kontroll over telefonen, herunder blant annet tilgang til komplett remote wipe av telefonen.  For min del sa jeg at det var helt uaktuelt å godta, men de fleste her har gjort det. 

Det er lite informasjon å hente ut av en ansatts jobbtelefon som har fått satt opp exchange-konto på sin/jobbens mobiltelefon. Noe annet er det kanskje med en MDM-løsning?

Tillatelse til remote wipe av telefonen og sikkerhetskode MÅ være minimumskrav i tilfelle tyveri/tap av telefonen dersom en ønsker jobb-epost (Exchange) på mobilen.

[tigerdyr]

Tillatelse til remote wipe av telefonen og sikkerhetskode MÅ være minimumskrav i tilfelle tyveri/tap av telefonen dersom en ønsker jobb-epost (Exchange) på mobilen.

 

Nei, det er veldig unødvendig.  Det er nok å kunne wipe akkurat det område som exchange-data lages, ikke en bit mer. 

[phel21]

Disse kravene er en vits. Den jevne strømmen av feilrettinger til Linux-kjernen alene gjør at enhver enhet med programvare eldre enn 2 uker er en sikkerhetsbombe (iOS er ikke noe bedre, bare mer lukket). Det bør stilles krav til bedre separasjon av merke-spesifikk programvare og drivere for merke-spesifikk maskinvare slik at bygging og distribusjon av programvare med feilrettinger (uten funksjonelle endringer) kan tilnærmet automatiseres. I dag er mange leverandørspesifikke tillegg til Android så grisete implementert (ifølge interne lekkasjer fra utviklere) at en enkel merge av sikkerhetsfikser ikke måles i sekunder eller minutter, men i årsverk. Kode-separasjon med klare avgrensninger (API'er) er den eneste løsningen. Det bør ikke ta mer enn 48t fra kritiske rettinger sjekkes inn kodebasen til Google før endringene er operative hos brukerne. Ett krav på 90 dager kvalifiserer ikke en gang som en dårlig spøk.

 

Dernest er det på høy tid å fjerne alle sperrer som hindrer brukerne i selv å bestemme hvilke applikasjoner de ønsker å bruke for ulike formål. Det betyr ikke at produsentene ikke skal forsøke å formidle apparater med en fornuftig standardpakke med applikasjoner, men sperrene som hindrer fjerning av leverandørspesifikke applikasjoner må opphøre.

 

Til sist må det stilles krav om at kode for maskinvarespesifikke drivere må publiseres åpent i god tid før produsentens aktive support for produktet opphører. Det vil åpne for at uavhengige aktører kan ta over support, f.eks ved å tilby ett abonnement på oppdatert firmware. Dette er nok ikke hverken i Googles eller produsentenes interesse, men noe regulerende myndigheter verden over bør ta tak i som ett bidrag til å dempe belastningen på verdens ressurser gjennom forlenget levetid. Klarer man å øke levetiden på forbruks-elektronikk med 20-30% så har det enorme konsekvenser for vårt globale ressursforbruk. Potensielle miljø-forbedringer i nye modeller overskygges totalt av miljøbelastningen knyttet til produksjon og transport av den nye dingsen. En dings som kjører Android X kan med jevnlige sikkerhetsfikser og feilrettinger fungere lenge uten å oppgraderes til en Android X+1 som ofte kan kreve for mye av eldre versjoner. 3.parts leverandører kan gjerne levere siste Android via et abonnement likevel om det aktuelle apparatet er i stand til å håndtere det.

[RonnyVa]

Det er en uting.  Absolutt ingen burde bruke en mobiltlf privat der det i virkeligheten er bedriften som har "administrator tilgang" og kan gjøre absolutt alt med den.  Det er en gigantisk sikkerhetsbrist for den ansatte som har en firmamobil fra jobben (og skattes for det!), men hvor al bruk, herunder mail, meldinger, bilder osv.. kan monitoreres av bedriften, for ikke å snakke om hva som skjer når telefonen er koplet på den ansattes privat nettverk.  

 

Android 8 kommer med muligheten for to profiler på telefonen, med helt adskilte apper og tjenester. Så, om jeg vil, kan jeg ha en jobbprofil hvor Google Device Policy er installert, og den delen av telefonen kan fjernslettes av jobben om jeg mister telefonen.

Så kan jeg ha en privat del hvor det ikke påvirkes av noe fra jobben.

 

Jeg fant det så tungvindt i daglig bruk at jeg holder meg til en profil -- men hadde situasjonen vært en helt ny og ubrukt telefon, så hadde jeg faktisk vurdert det.

 

Men ja - Google Device Policy lar ikke sjefen min snoke i verken mailer, SMS eller andre ting. Han får ikke en gang vite hvor jeg er (bare bruker av telefonen får bruke find my device-delen av Google) -- men han kan sette retningslinjer som at f.eks. fem feile passord medfører at telefonen låses og slettes, med mer.

 

Så jeg er ikke bekymret for privatlivet mitt :-)

[RonnyVa]

 

redigert: For øvrig kan du ikke hente ut data fra telefonen bare ved å ha satt opp en exchange kobling, tilgangene trenger den for sikkerhetspolicyer og integrasjoner.

 

For min del ville ikke telefonen hente mail fra exchangeserveren uten jeg ville gi fra meg de tilgangene.   

Fordi den vil ha kontroll på telefonen til å slette den om den kommer på avveie. Det er ingen i andre enden som kan lese noe på telefonen din.

Ta det fra en som leverer løsningene både i G Suite (Google) og fra egen Exchange.

Vi setter krav til lås av telefonen og at vi kan slette den når den kommer på avveie.

 

For min egen del har jeg bl.a. Dropbox med Keepass-database over mange passord i jobben, jeg har Teamviewer med konto som har oversikt over mange maskiner, osv.

Selvsagt vil jeg ha muligheten til å låse telefonen og slette den om den kommer på avveie ... og selvsagt er den kryptert!