Conflicto Airwatch (Seguridad empresarial) y root

mac13 · 27/03/14, 20:03:12

Tengo un S4 mini rooteado y por necesidades de trabajo tengo que instalar Airwatch. El problema viene cuando al instalar y configurar la aplicación, no permite conectar con los servidores de la empresa porque el dispositivo está "comprometido".

Buscando por internet, he encontrado varias publicaciones que indican la posibilidad de saltarse la validación root, calificar el dispositivo como compatible y permitir la conexión con la empresa.

Parece ser que dicha validación viene registrada en una base de datos que Airwatch instala en el terminal y bajo la variable "IsCompromised" (Si detecta el root es "1") valida el teléfono como apto.. o no.

Modificando de forma manual el valor a "0", el sistema identifica que todo es correcto y al mandar la validación de forma también manual, Airwatch funciona. El problema es que la aplicación tiene una rutina que hace que conecte con los servidores para realizar la validación cada cierto tiempo (y no existe la posibilidad de prolongar el intervalo de conexión), por lo que de nuevo detecta que es root y cancela la conectividad Airwatch.

La solución pasa entonces por enviar una "validación manual" a los servidores, y a continuación, modificar en la base de datos el host con el que se va a conectar para validar. De esta forma, los servidores de la empresa tienen la validación inicial correcta y para las posteriores, la aplicación instalada en el terminal comunica con un servidor "fantasma" que obviamente no valida nada.

El siguiente problema, si hemos conseguido llegar hasta aquí, es que la herramienta de la empresa que se encarga de validar cada terminal detectará que hace tiempo que el terminal no valida y por seguridad lo deshabilita.

En este punto, es necesario insertar una rutina en el terminal que envíe una copia del mensaje de validación manipulado a los servidores cada cierto tiempo. Esto puede hacerse con script insertado en el terminal.

He probado la aplicación "OTA RootKeeper" que en determinadas condiciones permite "desrootear" el teléfono temporalmente (Por ejemplo para realizar actualizaciones vía OTA) y lo he conseguido pasar, pero entonces, Airwatch detecta algo que hace instalar un Addon de Samsung que valida con Knox... y al tener el bootloader modificado... pone Knox a 01 y lo rechaza. (Lo extraño es que el firm instalado no tiene Knox operativo y el estado de SELinux es permisivo)

La otra alternativa es eliminar el root del teléfono.

¿alguna idea de como evitar todo esto?

Muchas gracias de antemano

Udjat · 30/03/14, 17:18:23

Hay un módulo xposed, Dale un vistazo, tal vez te sirva de algo.

Udjat · 30/03/14, 17:33:30

Bueno, no me deja editar el mensaje anterior, dice que no tengo permiso, así que aquí te dejó el tema original en XDA, espero te sirva. http://forum.xda-developers.com/show....php?t=2040163

Saludos.

mac13 · 31/03/14, 21:42:01

Cita:

Originalmente Escrito por Udjat

Bueno, no me deja editar el mensaje anterior, dice que no tengo permiso, así que aquí te dejó el tema original en XDA, espero te sirva. http://forum.xda-developers.com/showthread.php?t=2040163

Saludos.

¡Muchas gracias!, la info es muy interesante, voy analizarlo en detalle porque tiene "mucha miga"

.

Menu