КРОК corporate blog
Development of mobile applications
IT Infrastructure
Comments 71
+1
Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.

Да нет, работает все)
0
И магик обновляется, и нашли средство борьбы (обрезать права доступа к бд которая отвечает за статус рута на телефоне)
0
В Magisk Manager'e даже есть кнопочка «Tap to start SafetyNet check». Лично у меня эта кнопка всегда показывала положительный результат (девайс с рутом, очевидно)
0

У меня оно тоже подходит, а Google Pay не работает. Маскировка тем же магиском уже не помогает.

0
Xposed, случаем не установлен? С ним шансов на прохождение проверки нет.
Вообще, инструкция по этому процессу есть там: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950
Есть ещё скрипт, который это автоматизирует: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950/post79643248#post79643248
Meklon, вам тоже может быть интересно.
0
У меня сейчас стоковая прошивка и twrp. Этого достаточно, чтобы не проходить проверку (
0
У меня была проблема что на стоке ни в какую не проходило проверку стабильно. Постоянно отваливалось. Установил начисто LineageOS + OpenGapps Nano, потом Magisk, потом из Magisk-а уже MagiskHide Props Config с правильной его настройкой, потом шаманство с dg.db, а потом уже EdXposed — и всё взлетело. Не с первой попытки, но вполне успешно летает с той поры =)
0
Надо время найти. Сейчас такое расписание, что воевать с кирпичом никакого желания нет.
0
MagiskHide Props Config с правильной его настройкой

А что настраивал?
0
Ну я просто выбрал профиль под свой телефон. А так по сути можно выбрать любой профиль который там есть, единственное все приложения будут считать телефон ваш другим. =) Главное там не перемудрить, и выбрать по сути только это.
+1
Андроид все больше начинает походить на iOS со всеми этими танцами с бубном.
+1
Да, я все от блокировки записи звонков все никак не отойду…
0
Да, пришлось в итоге перейти на него, но как минимум одна запись у меня получилась односторонней — только мой голос и нечленораздельное тихое бульканье с другой. Еще не изучал, почему.
+1
С ним шансов на прохождение проверки нет.

Ну зачем так категорично? Не один год жил и с root, и с Xposed, и с Google Pay.
Всё можно. Не так просто, но можно.
0
Раньше было можно без особых проблем, да. Весенние обновления были настолько суровы, что проходить проверку с xposed перестало у всех. Дальше смогли починить magisk + googla pay, но установленный xposed так и не позволял связке работать. Чуть выше есть комментарий, что с EdXposed всё-таки заработало.
0
Так речь идёт как раз о том, что Xposed ставится как внесистемный (как модуль EdXposed к Magisk), включается маскировка Xposed, и Google Pay, «Сбербанк онлайн» не видят его… какое-то время. Потом, правда, приходится обновляться, иногда лезть на 4pda/Xda и читать, и снова уходить из-под контроля…
0

Там есть хитрость с патчем одной sqlite базы и запретом доступа на запись к ней =)

0
У меня сегодня утром в макдональдсе не прошла оплата с этим патчем. В теме на форуме 4pda тоже начали всплывать жалобы. Так что гугл опять что-то мутит.
+13
Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами

"твой" девайс /= "корпоративный" девайс, поэтому при внедрении MDM необходимо предоставлять сотрудникам устройства от компании. Ставить на свой личный телефон шпионскую софтину, "льющую непрерывный поток телеметрии"… ну это такое себе.

0
При использовании BYOD в ИТ-отделе компании не держат пистолет у виска пользователя, вынуждая его установить агент управления на свое личное устройство. Хотите быть мобильным и иметь доступ к ресурсам компании — можете установить. Не хотите доступ- не устанавливайте. К слову, при подключении личного телефона к EAS (Exchange Active Sync) администратор почтовой системы имеет право вайпнтуть вам устройство.
+9
Хотите быть мобильным и иметь доступ к ресурсам компании

Не так. Если необходимо, чтобы сотрудник был мобильным и доступным 24х7 — выдайте ему конторский телефон (пусть даже с MDM, ничего против не имею в данном случае и даже одобряю), и не забудьте включить ему в заработную плату компенсацию за нахождение в stand-by режиме "ожидания звонка".


Хотя я вообще не особо одобряю весь этот BYOD, во-первых, из-за вот этих вот MDM-ов на личных устройствах, а во-вторых, работодатель обеспечивает рабочее место и инструменты. Если телефон необходим для работы — его надо выдать. Точно так же, как стол, стул и что там еще нужно.

+1
Технология Android for Enterprise позволяет отделить личное пространство пользователя от рабочего (Work managed profile), можно прочитать здесь: www.android.com/intl/ru_ru/enterprise/management

А вот исходя из этой статьи developers.google.com/android/work/device-admin-deprecation получается, что в новой версии Android управлять устройством можно будет только при интеграции MDM системы с Android for Work. Список одобренных MDM систем можно найти тут: androidenterprisepartners.withgoogle.com/emm/?_ga=2.184586537.163353914.1570094274-1958348971.1565249398

Представим себе разработчика или целую команду разработчиков с личными устройтсвами, например, Mac+ iPhone+свой appleid. У них вся жизнь на этих устройствах и вам нужно организовать им доступ к необходимым ресурсам. Кроме того, они вне офиса и работают в разных уголках России. Как в таком случае действовать и защитить корпоративные данные на таких устройствах без UEM?
0
Можно представить сценарий, где разработчику предлагают выбор или он работает строго на рабочем месте и строго в рабочее время или когда и где ему удобно, но BYOD+MDM. Выбор каждый делает сам.
0

Напоминает какую-то поговорку про два стула. Или MDM должен быть корректным и в случае ахтунга вайпать только корпоративные материалы и доступы, а не всё устройство целиком, или таки контора должна понять, что удалёнщику точно так же нужно выдавать технику, как и обычному сотруднику со столом и стулом в кабинете.


Upd: ниже подсказывают, что в андроиде именно так грамотно и сделано — отдельно корпоративная область, отдельно личная. В таком случае и правда, почему бы и нет?

0
В таком случае и правда, почему бы и нет?

Два телефона — рабочий, пусть даже с MDM и личный, куда работодателю доступа нет никакого — куда надежнее. Кроме того, внедрение описанных в статье систем должно быть оправдано — то есть действительно должны быть какие-то корпоративные секреты и sensitive data, а не просто желание генерального директора и дядек из "службы безопасности", которым тупо понравилась идея, что "у нас все теперь под колпаком". Что охранять у описанной выше распределенной команды стартаперов? Код очередной мобильной игрушки или очередного что-нибудь-as-a-service? Ну такое, в общем.
Я понимаю, что я немного утрировал, но хотелось донести мысль, что MDM оружие очень острое и применять его необходимо строго по назначению, а не для игр в Большого Брата.

+1
Можно представить сценарий, где разработчику предлагают выбор или он работает строго на рабочем месте и строго в рабочее время

Без звонков после неудачного пятничного деплоя? Без проблем.

0
Ну это решается элементарно запретом на деплой в пятницу. У нас прямого запрета нет, но так как никто не ждет что разработчик в свободное время будет доступен, то никто и не льет перед выходными.
0

Знаю места, где некоторые вещи невозможно деплоить не в пятницу (ну или не по выходным), и это обусловлено некоторыми условиями внешнего мира (скажем, как работают разные биржи).


Вернее, деплоить-то можно, но активируются они только вечером пятницы.

0
Грустно тогда. Но я в таком случае просто бы договорился о выходных не в выходные. Есть конечно в таком решении недостатки, социолизироваться с кем-то кроме коллег сложнее, но в целом — замечательный вариант, я давно думаю о таком договориться все-таки.
0
Можно накатить условный Nine и тогда вайпаться будет только почта, а не весь телефон (там есть настройка зоны доступа для актив синка со стороны клиента)
0

Чтобы не вайпнули весь девайс, есть рабочий профиль, для которого идут свои приложения под рабочий аккаунт. Профиль можно включать и выключать по желанию (например в нерабочее время). Единственный минус — администратор может задать параноидальные меры безопасности для всего устройства (вводить пароль на каждую разблокировку экрана, пин не подходит) что отобьёт всё желание использовать это.

0
Самое забавное с этими вайпами то, что если ты уехал в отпуск без интернета, а в это время вышло критическое обновление, но ты его не установил в течении некоторого времени — получай чистый телефон
+2

Интересная статья, мы как раз разворачиваем MDM в нашей конторе. Много времени уходит на позитивную пропаганду среди пользователей BYOD. Да, мы можем удаленно обнулить ваш телефон и нет — мы не можем читать ваши смс.

+1
Немного неправильно подняли.
«Не читаем» != "не можем читать".
Или так и было задумано?
+5
А почему не можете читать SMS?

Я через MDM на андроидах через remote control могу делать всё, что может делать пользователь. Пользователь даже не узнает, что я подключился и вижу содержимое его экрана.

Или это фишка новых версий Андроида, с разделением на личное и рабочее пространство, без доступа MDM к личному разделу?
0

Политика компании такова, что все телефоны и планшеты регистрируются в BYOD режиме. Андроиды — AfW, vendor managed, Apple так же, никакого DEP. DEP enrolled у нас только айпады в переговорных.
MDM ещё толком не развернут, поэтому гайки закручивать рано. Задача минимум на текущий момент — принудительное наличие пинкода (да, у нас была пара товарищей не на последних должностях, которым не нравились пинкоды или разблокировка отпечатком пальца ибо неудобно).
Следующий шаг это пряник в виде автоматической аутентификации WiFi, а кнут — ограничения доступа к корпоративным ресурсам, системам и т.д. устройствам вне MDM. Ну и прочая авторизация с блекджеком и сертификатами.

0
Всё верно, это фишка Android. Согласно данному документу при использовании Remote Manager (a.k.a. Workspace ONE Assist) мы можем удаленно подключаться только к корпоративной области устройства.
0
Эх, как классно это все выглядит в статье, и как грустно изнутри :)
Идея и сам посыл — великолепны. А вот реализация как всегда…

Очень хорошо знаком с AirWatch, их SDK и их технической поддержкой.
Если в вашей компании разрабатываются внутрикорпоративные мобильные приложения, то разработчиков ждет море развлечений :)

Из любимого:

1. Обновилась мажорная версия SDK AW.
Взяли в работу, обновляем приложухи. Для Android толстый гайд по переходу на новую версию. Для iOS гайд весьма скуден:
«Удалите старую SDK из проекта.
Импортируйте новую SDK.
Устраните все возникшие ошибки.»
Ну супер, да.
/Хотя, стоит отдать должное, реализация SDK для iOS в разы понятнее и удобнее чем для Android./

2. Жалоба работников склада (планшет на Android + наше приложение + сканер ШК):
В новой версии приложения, при сканировании data-matrix кодов (около 150 символов информации), все жутко тормозит и можно увидеть как в поле ввода возникают символы, как будто их вводят руками. В то время как раньше сразу возникала вся строка.
Странно, подумали мы. Ничего ж не трогали.
Ну ок, лезем разбираться. Долгую историю поисков, декомпиляции исходников и прочее пропущу, сразу к сути.
В новой версии SDK, изменилась работа с продлением сессии SSO. Теперь софт регистрирует каждую интеракцию пользователя с устройством. Ну ок, нам как-бы все равно. Проблема в том, что не предусмотрено никакого таймаута. Т.е. если с устройства ввода летит 150 событий (сканер эмулирует ввод с клавиатуры) с миллисекундными интервалами, то 150 раз вызывается функция с логикой обработки события и продления сессии SSO.
Благо не слишком глубоко зарыто было. Удалось унаследоваться, переопределить метод и переписать логику.

3. Приложение проходит аудит информационной безопасности.
Сотрудник ИБ (ИБ): В реализации ошибки. Я в консоли запрещаю устройству 3G, а оно продолжает его использовать.
Разработчик (Р), глядя в дебаг: Ну обновленный профиль от сервера не приходил и не приходит. Я то тут при чем? Задайте вопрос вендору (AirWatch).
ИБ: Мое дело проверить и указать на проблемы. Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
Р: Ок, пойду с админами сочинять письмо вендору.
/ Ставим тикет в ТП AW, через время его принимают, нас 40 раз пинают через разные линии поддержки, наконец попадается компетентный товарищ /
Сотрудник ТП AW (ТП): Все работает корректно (by design). Профиль приложения спускается на устройство один раз, при установке приложения.
Р: Эээ… Странно… Ну ок, спасибо.
/ Сообщаем ответ ТП, сотрудникам ИБ /
ИБ: Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
/ Отлично. Читаем мануалы, находим обрывки знаний, пишем в ТП /
Р: Ребята! Что нам делать-то? Как реагировать на изменения профиля?
ТП: Ну вы можете осуществлять сетевые запросы к серверу AW, и получать профиль.
Р: Блин, ну ок, будем пробовать.

Пробуем, да, профиль получить можно. Но только через MAG (что-то типа VPN тоннеля, между клиентом AW и сервером AW, для доступа внутрь защищенного контура сети). А MAG не везде используется и работать начинает только после получения профиля. Реализация получилась крайне интересная и костыльная. Но рабочая :)

Этот список можно дополнять бесконечно. Жесткие корпоративные регламенты ИБ, которые не так просто изменить. Очень тяжелая в общении техподдержка. Множество проблемных кейсов, которые не воспроизведешь в тестовом окружении. Очень скудная документация.

Но, с другой стороны, ситуация постепенно выправляется, хотя и очень неспешно :)
В свежих версиях завозят новые проблемы, но старых проблем исправляют больше, чем создают.
0
Почему то было предположение что здесь вас встречу.) Я вижу нам еще повезло.
0
У вас там, помнится, своя засада была тогда))
Но в целом, со временем, мы научились со всем этим жить и даже штатная градация трудоемкости интеграции приложения с AW (с нуля) появились, а-ля:
— Senior Mobile Developer: 16 часов
— Middle Mobile Developer: 40 часов
— Junior Mobile Developer: 80 часов
0
2. Не встречал у заказчиков разрабов, которые были бы довольны какими-либо SDK или «О ужас! Не дай Бог», «обёртыванием» их приложения, однако, всё в итоге у них получалось.

3. Странно, что вам не помогали специалисты из компании, которая вам внедряла MDM. Я вот всё время на связи и постоянно консультирую коллег по вопросам связанным с МDM.

P.S. Если вы до сих пор используете MAG и AirWatch- срочно обновляйтесь.

Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.
0
Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.

Знаю, я консерватор и для меня он уже так и останется AW.
Я даже Теле2 читаю как «телету» по привычке, а у них только произношение поменялось :)

2 — в целом так и есть :)
3 — Собственно внедрял MDM нам непосредственно вендор, т.е. сам AirWatch. Может быть сейчас качество ТП улучшилось, я уже год как не связан больше с кровавым энтерпрайзом, поэтому не в курсе.

Какая версия, кстати, Android AW SDK сейчас? Я ушел на 17.6.1, а начинали мы с 15.1, кажется.
0
Нормально, 18ю версию я успел увидеть, но плотно не щупал.
+5
Там где начинается бизнес заканчивается этика. GPS, почта, телеметрия непрерывным потоком, статусы звонков ( как минимум ) и
нет, мы не читаем ваши SMS
звучит дюже забавно.

Вот прочитал, статейку и пришёл к осознанию, что я не хочу работать в кампании, где используется подобная экосистема. Ведь по сути вы сами привели пример, где сотрудник отдыхает в баре ( личное время, личная жизнь ) и где забывает корпоративный девайс. Но вот как-то не согласуется, личная жизнь и постоянная телеметрия.
0
Вот эти 2 скрина показывают, что всё на совести компании в которой внедрен MDM.




Администратор системы может отключить, например, GPS -треккинг для личных устройств.

Есть политики компании связанные с данными этой самой компании и все ее сотрудники должны этой самой политики придерживаться. Не хочешь использовать — удаляй агента, когда уходишь с работы.
+1
У меня одного проблемы с этим интерфейсом?
скрин
image

Темное это переключатель вкл или выкл?
Если рассуждать по строке Icon Size, темное — это значит выбранная опция. Хорошо, что на этой вкладке есть параметр с тремя позициями.
Но ведь кнопка Close тоже темная, значит ли это, что она нажата…
0
EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.

У SafePhone есть расширение "Защищённые коммуникации" для VoIP-телефонии и обмена сообщениями, ссылка. В нём есть шифрование, но нет записи переговоров. Это важно не меньше, чем нечтение SMS. Ещё лет 5 назад люди так боялись MDM, что после работы вынимали аккумуляторы или клали корпоративные телефоны в сейф. Самое сложное, но необходимое — убедить пользователей, что EMM нужен не для того, чтобы подсматривать и вторгаться в личную жизнь, а для того, чтобы обеспечить удобный доступ к сервисам.

-1
Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах.

Следующий вопрос: они знают, что идут в бар; знают, что обычно происходит в барах; нах зачем они берут с собой рюкзаки, ноутбуки и далее по списку???


Мало таким в детстве надавали живительных трындюлей, мало...

-2
Многие прям с работы идут

Ну так зайди с работы домой, оставь там рюкзак-ноутбук, и иди гудеть себе по барам хоть до второго пришествия. Есть такое слово — ответственность...

+1
Для многих «зайти после работы домой» — это час дороги, а то и два, в одну сторону. Понятно, что вы можете возразить что так быть не должно, но увы.
0
  1. Шифруйте диски/иные носители, чтобы без пароля ноутбук превращался в тыкву.
  2. Оставляйте ноутбук в офисе, если идёте бухать в бар (если сопрут оттуда — не Ваша вина).
  3. Бухайте Идите в бар в субботу/воскресенье.
  4. ???
  5. PROFIT!

"Желающий — ищет возможности. Нежелающий — ищет причины."

0
1. Если я сам зашифрую диск ноута и не смогу его расшифровать, (по любой причине: забыл пароль, драйвер шифрования криво обновился, батарейка неудачно села, не важно) то огребу люлей. Если же диск был зашифрован админом, то этого не произойдёт, потому что у админа было и время, и квалификация подумать как сделать так, чтобы диск расшифровывался, а если вдруг все равно нет, то были бы бэкапы. А мне, сотруднику, надо финансовый отчёт составлять, а не драйвера тестировать.

2. Ноутбук нужен, в основном, для того, чтобы в субботу можно было доделать и отправить этот чертов отчет, а если он остался в офисе то от него никакого толка нет.

3. Можно и дома бухнуть, в полной безопасности и с ноутом, но коллеги собираются вечером в пятницу после работы. Кто-то идёт с ними, кто-то идёт домой. Кто-то едет в командировку и там его грабят, всего не предусмотришь.

5. Централизованные технические решения надежней, чем полагаться на ответственность и компетенции в информационной безопасности каждого отдельного сотрудника.
0
Когда работа и дом находятся на определенном удалении, то нереализуемо. Я живу в 100км от работы, поэтому приходится таскать рюкзак с собой. Правда я ни разу не забывал, тьфу-тьфу-тьфу.
0

Например, в командировке в баре можно коротать время до автобуса/поезда/самолёта домой.
Там уж про себе может быть много чего.

0
О, какая интересная тема.
А может кто-то подсказать, как бороть через их (Workspace ONE) ТП нерешающиеся месяцами проблемы?
Из последний примеров.
1. вся эта монструозная конструкция отчего-то при синхронизации с ФВ воспринимает пользователя и ровно того же пользователя но с уже установленным менеджером — разными сущностями и задваивает аккаунты. Из-за этого профили прилетают на задваивающийся аккаунт. Проблема всплыла, когда для некоторых новых пользователй руководитель прокачивался после синхронизаци AD с MDM. Просто Re-enroll не помогал.
2. Постоянно приходится пушить пару профилей при любых изменениях с пользователем, Active-Sync и еще один для VPN и локальная наша ТП это делает вручную. Подскажите, там есть какое-нибудь вменяемое API, чтобы эти вещи отслеживать и автоматизировать?
0
Спасибо за ответ. Выяснилось, что тикета в техподдержку Workspace ONE и не было! Есть тикет в нашу поддержку (аутсорсят тут одни), но те дальше не эскалировали… Постараюсь дожать на следующем новом пользователе.
И за ссылку на api/help спасибо, вижу, буду читать.
Only those users with full accounts are able to leave comments., please.