Androiden-Administration in Firmennetzwerk

[Handy]

Servus,
wir wollen bei einem Kunden das Smartphone HTC Desire einführen.

Da hier (panische) Angst beim Kunden besteht sich einen Virus zu fangen (egal ob über Apps oder Internet) möchte er gerne einen Virenscanner drauf haben, App installation verbieten und will wissen ob das Betriebssystem "ausspionierbar" ist...

Jetzt sind meine Fragen:
Ist ein Virenscanner überhaupt notwendig oder gibt es gute?
Wie kann ich die App installation oder den App download blockieren?
Ist das Betriebssystem ausspionierbar?
Kann ich vorinstallierte Apps deinstallieren?

Danke!

Gruß aus Bayern

Handy

 

[rushzero]

1. Ne
2. kA das muss ein andere beantworten
3. Ja mit Root rechten, oder wenn du ein App installierst und nicht richtig auf die Permissions schaust
4. Ja

//EDIT Nachtrag zu 2.

Was mir einfällt, Market löschen und Einträg für "Unbekannte Applicationen" ausmarkieren.
Gibt aber bestimmt noch eine elegantere lösung

 

[Thyrion]

Evtl. ist das hier was für dich: https://www.android-hilfe.de/forum/...le-verwaltung-von-android-geraeten.78527.html

Zu deinen Fragen (spiegelt aber nur meine Meinung wider)
- Nein und nein

- Schwierig bis gar nicht - evtl. geht es mit dem anderen Thread und/oder dem Entfernen der Market-App - aber damit gäbe es immer noch die Möglichkeit via Android Debug Bridge (Nachtrag: Und ob man die Vending.apk für das manuelle Installieren eines APK auf dem Telefon (via Datei-Manager) braucht, weiß ich auch nicht - das kann man zwar mit dem Haken bei "Unbekannte Quellen" absichern, aber den Haken kann ja jeder setzen)

- Beim Betriebssystem gibt es doch nichts Interessantes - wenn dann müsstet du doch fragen, ob die Daten ausspionierbar sind - theoretisch, mit entsprechenden, abgenickten Rechten der App ja - sofern die andere App ihre Daten anderen Apps bereitstellt (Kontakte ist so ein Beispiel) - oder mit Root-Rechten

- Ja, mit Root-Rechten geht das - wo wir schon beim nächsten "Problem" sind - damit kann dann aber der Kunde (mit genug Ahnung) sämtliche Sperren die du ihm auferlegst umgehen. Es könnte aber klappen, wenn ihr ein eigenes ROM ohne Root-Rechte und zusammenbasteln könnt.


EDIT: Und wie bei jedem System - Die größte Sicherheitslücke sitzt vor dem Gerät.

 

[Handy]

OK, danke..
Wie kann ich die Vorinstallierten Apps löschen?

Weiß sonst noch wer was zu Frage 2?

 

[Thyrion]

-> https://www.android-hilfe.de/forum/...re.90/apps-entfernen-per-adb-shell.55262.html

 

[Handy]

OK werd ich versuchen...
Eine Möglichkeit ohne Shell gibt es nicht oder?

 

[Thyrion]

Naja, die Apps vorher aus dem zu flashenden ROM löschen wäre eine Alternative.

 

[GalaxyS_User]

Wenn du das Ding wirklich komplett abschotten willst must du den Kernel neu compilieren und die unerwünschten Features vorher entfernen (unsigned Code, ...).

 

[rushzero]

^^ kannst ja die PackageInstaller.apk löschen

 

[email.filtering]

Also wenn eine Firma sicherstellen will, dass den Firmendaten ganz sicher nichts geschehen kann, gibt's nur ganz wenige Möglichkeiten:

- keine Mobiltelefone, Netbooks, usw. ans Firmennetzwerk lassen; gleich ob über WLAN, LAN, SyncML-Server, ...
- alles von der Picke auf selbst machen; also z.B. das Mobiltelefonbetriebssystem gleich selbst kompilieren, da es mit dem Kernel alleine eigentlich nicht getan sein kann; schließlich beeinflusst der vieles, aber eben auch nicht alles
- gleich auf ein Closed Source-Produkt wie ein iPhone usw. setzen; da kann wenigstens auch der ambitionierte Mitarbeiter und dessen Filius nicht übers Hintertürl was dran 'rum fummeln, wie eine Software per ADB, Fastboot, Rooten oder gar ein neues OS installieren usw.

Das wichtigste ist immer, sich der Grätsche zwischen modernen Kommunikationsmitteln & -methoden und dem tatsächlich notwendigen Sicherheitsbedürfnis bewusst zu werden und zu entscheiden was wichtiger ist bzw. wo's lang gehen soll. Aber das klassische Prinzip der Abschottung funktioniert eben nicht in Kombination mit modernen, heute zeitgemäßen Technologien.

 

[Vorador]

Im Unternehmensbereich ist Android einfach noch sehr schwach. Hier ist Blackberry mit Abstand die erste Wahl. Zumindest als Enterprise Lösung betrieben. Danach kommen Windows Mobile 6.5 und inzwischen auch das iPhone 4. Alle erlauben aber eine deutlich bessere Abschottung des Systems nach außen und eine zentrale Wartung und Rechtekontrolle. So gern ich auch Android auch habe aber in einem Unternehmen als Produktivsystem ist es, zumindest wenn man die Rechte der Nutzer kontrollieren muss, eher eine schlechte Wahl.

 

[CoolRunner]

Gibt es eine Möglichkeit zu verhindern das apps auf dam Galaxy installiert werden können?
Also so ne Art Zugriffsbeschränkung / admin / user?

Es handelt sich um Firmenhandys, darum

Handys dürfen auch gerootet werden, falls das nötig ist.

 

[VerLec99]

klar, aber das lässt sich genauso einfach wieder aushebeln. Zu was nimmt man ein Smartphone als Firmenhandy, wenn es nicht benutzt werden darf? Dann reicht doch auch ein einfaches Nokia zum Telefonieren.

 

[VeluxRacer]

Eine möglichkeit wäre eine App die Apps mit passwort sperren
kann z.B Seal.

Damit könntest du den Paket-Installer und Market sperren.

 

[Snake3]

Dann kann man gleich mit root den market deleten...

 

[VeluxRacer]

Dann kommt vielleicht sein Angestellter auf die Idee den Market wieder zu installieren.

Und root auf einrm Firmenhandy? Ich weiss nicht ob das so sinnvoll ist.

 

[CoolRunner]

Das mit Seal ist ne gute Idee Danke.
Wollen nicht das die Leute zig Apps installiern die es instabil machen.
Rooten finde ich auch keine gute Idee, wenn ich den Market auch so sperren kann reicht mir das aus.
Das dieses Handy genutzt wird hat andere Gründe, möchte das jetzt aber nicht weiter ausführen da es nicht darum geht.

 

[tomKöln]

klar, aber das lässt sich genauso einfach wieder aushebeln. Zu was nimmt man ein Smartphone als Firmenhandy, wenn es nicht benutzt werden darf? Dann reicht doch auch ein einfaches Nokia zum Telefonieren.

Darum gehts, denke ich, nicht.
Wenn der Anwender (der unbedarfte oder der mit experimentierfreudige) an dem Gerät ohne Beschränkung alles machen kann, was er will, oder falsch macht, ist es nicht administrierbar.

Dann kannst Du allen AW Adminrechte auf dem PCs geben und wundern, dass der Supportaufwand nicht mehr machbar ist.

Es geht darum ein Smartphone in den Funktionen freizugeben, die für den Firmen(eigenen) Kunden auch noch als solches nutzen kann.

Email, Kalender, ggf, Navi, usw. Aber nicht das wilde Installieren von Tools und Apps, die einen Unternehmensablauf stören können.

Die Firmenrevisionen machen halt auch solche Vorgaben und Beschränkungen. Eine Verschlüsselung der Datenspeicher, ob intern oder extern (SDKarte) sind hier ein Entscheidungskriterium, dass Smartphone überhaupt zugelassen sind.

Was ein 10Mann Unternehmen oder ein Freiberufler macht ist nicht vergleichbar.

Wir haben erst Androids, wenn so ein Ding global von einer Instanz administrierbar und revisionssicher ist.

Leider sehen Apple und deren Konkurenten immer nur das Indviduum und keine Administrative Ebene.

Erstes und bestes Beispiel sind die Kontenbindungen an die Geräte.

 

[boardmaster2009]

Lösche es gleich, geht vom Handy nicht...post war es nicht wert ;-)

-Getaptalked von unterwegs-

 

[Snake3]

Testen werde ich es nicht, aber da der root app remover das nicht ins zarte Rot tauchte, wird ey wohl doch gehen.