这是一个创建于 1195 天前的主题,其中的信息可能已经有所发展或是发生改变。
第一个,公司的一些工作比如 oa, 订餐,流程处理需要连接公司 wifi,当第一次接入时提示安装根证书。无法拒绝
第二个,公司为方便员工出差联网,为手机提供了 v pn,安装的 app 是企业应用,不在 appstore 下载,而是提供信任的描述文件。
手机为 iphone12 未越狱,想请教大牛:
1 第一个植入的根证书,是不是只有在连接公司 wifi 时才有可能解密手机流量?不联网使用 sim 卡 5g 就没有问题吧?根证书不能实时监控其他操作吧?比如手机截图?
2 v pn 只要不起用连接,也无法监控手机流量吧?
 |
1
galenzhao 2021-08-01 12:15:23 +08:00 via iPhone
理论上看是啥证书 mdm 的话,所有内容都能看
遇到这种 要求公司提供手机 |
 |
2
AkideLiu 2021-08-01 12:27:20 +08:00 via iPhone  5
第一个我感觉是 802.1x WLAN,如果你们 WiFi 要输入用户名+密码并且信任证书那就是了。这种应该不涉及流量解密
https://support.apple.com/en-au/guide/mac-help/mchlp2388/mac |
 |
3
0o0o0o0 2021-08-01 12:33:31 +08:00
是,只有连公司网络的时候才会被监控
安卓的话手机分身应该可以解决 |
 |
4
agagega 2021-08-01 12:39:47 +08:00 via iPhone
系统里会写这个描述文件有哪些权限。理论上这个描述文件的权限可以非常高。
|
 |
5
xiangguacheng 2021-08-01 12:50:35 +08:00 via Android 1
什么公司这么垃圾
|
 |
6
crab 2021-08-01 12:55:55 +08:00 3
@xiangguacheng 这是很正常操作吧?
|
 |
7
villivateur 2021-08-01 13:00:12 +08:00 via Android 2
这种情况我觉得可以让公司提供一个专门用于工作的手机。私人手机不装公司相关数据
|
 |
8
icyalala 2021-08-01 13:04:36 +08:00
@xiangguacheng 可能是阿里。。
你要看它的证书类型,如果只是个 Root CA,那走外网基本问题不大。 但如果是 MDM,基本相当于你手机被公司控制了,原则上公司办公不应该使用个人设备,应该让公司给你发手机。 至于企业应用,那个倒不用担心,没什么特殊权限的。 |
 |
9
Tumblr 2021-08-01 13:08:35 +08:00 11
企业 wifi 一般是用 802.1x 验证的,并且多数是用设备证书和用户证书。想信任这些证书,前提是你的设备上已经信任了公司的根证书,所以什么解密手机流量啊什么监控操作啊,你想太多了。至于 vpn 的那个,一般的公司策略是企业流量走 vpn,其它流量不干预,不过这具体要看你们的配置了。
@xiangguacheng #5 这位兄台肯定没有在一些像微软、苹果、华为、腾讯这样的“垃圾”公司做过吧? |
 |
10
pupboss 2021-08-01 13:14:41 +08:00 via iPhone
MDM 证书的权限可以非常高,比如清除锁屏密码,抹掉内容,我也不装这个证书
至于 Root CA 其实问题不大,很多 app 都做了防 MITM 的措施,公司如果监听数据,app 会不响应,只要你没遇到过这个情况就可以证明公司没监听你的网络 企业应用这条得见仁见智,不上架 app store 的应用,是可以写一些比较脏的代码,调用私有 API 什么的,具体多脏那你得转岗去看看怎么研发的才行 |
 |
11
pengtdyd 2021-08-01 13:32:44 +08:00
你都用得起 iphone12 了,再买个国产千元机使使不是什么问题吧
|
 |
12
xenme 2021-08-01 14:12:00 +08:00 via iPhone 1
1. 没啥问题,可以不用公司无线就行
2. mdm 可以直接看证书给的授权,虽然可以完全控制,正规公司,一般人也是没权限查看涉及个人数据的。二般还是买个手机算了。 |
 |
13
Tink 2021-08-01 14:20:53 +08:00 via Android
正常操作
|
 |
14
1002xin 2021-08-01 14:34:35 +08:00 1
要求公司配发手机,不配发的自己搞个备用机吧
|
 |
15
paradoxs 2021-08-01 14:39:00 +08:00
去海鲜市场买台 300 元的二手红米手机,随便整起
|
 |
16
masterclock 2021-08-01 15:32:07 +08:00
这种模式,不是必须使用配发的手机,不允许使用其他手机的吗?
|
 |
17
Howlaind 2021-08-01 16:52:51 +08:00 via Android
业务上的东西要装在私人手机上,对业务对个人都不够安全。
|
 |
18
Mitt 2021-08-01 17:38:22 +08:00 1
@pupboss #10 事实上做 防 MITM 操作的 APP 仅在少数,你自己抓包就能看出来,至少我手机两百多个 APP 还没遇到几个防 MITM 的,大多都是自己包了一层加密
MDM 的话其实如果会看也行的,MDM 描述文件安装的时候会把权限全部列出来,如果没有强制性描述的话,比如只是信任 CA,安装 APP,那么 MDM 其实对你手机的监管只有强行移除你的设备,删除 MDM 安装的 APP 和数据,除此之外不会对你手机有额外的操作权限,但是如果有强制性的描述的话,那就有很高权限了 |
 |
19
efaun 2021-08-01 17:54:35 +08:00
|
 |
20
xuanbg 2021-08-01 18:13:11 +08:00
证书权限再怎么高,你用 4G/5G 流量的话他也没招。
|
 |
21
ryh 2021-08-01 19:03:39 +08:00
@xuanbg MDM 又不是监控流量,而是相对于安装后,这个手机是公司财产,MDM 的管理员有完全的管理手机的权利
针对 Apple 设备的完整 MDM 有效负载列表 https://support.apple.com/zh-cn/guide/mdm/mdm5370d089/1/web/1.0 |
|
22
pupboss 2021-08-01 19:04:57 +08:00 via iPhone
@efaun 好像很多人都误会了,装一个 CA 证书本身没啥卵用的,他得配合 DNS 污染和中间人攻击才行,说人话就是,除非你在公司连着 wifi,或者出了公司用公司指定的 DNS(几乎没人用吧),否则这个证书没任何用
|
|
24
pupboss 2021-08-01 19:11:51 +08:00 4
@efaun 公司 wifi+公司 DNS+公司的 CA,从技术上可以监听 HTTPS 流量,公司 wifi+公司 DNS,几乎 100%被监听 HTTP 非加密流量,反正就是最好避免用公司的网络干私事
|
|
25
pupboss 2021-08-01 19:12:31 +08:00
|
 |
27
he110comex 2021-08-01 19:24:20 +08:00
买个千元备用安卓机,求个安心。
|
 |
31
yolee599 2021-08-01 20:52:58 +08:00 via Android
可以要求公司配发工作专用手机
|
 |
32
moln 2021-08-01 20:55:33 +08:00
@efaun 看你的梯子怎么配置,如果 ws+vless+tls 可以中间人攻击 sni,vless 没加密就能监控到,如果 vmess 因为多一层加密就监控不到
|
 |
33
hullopanda 2021-08-01 22:19:24 +08:00 1
@Howlaind MDM 方案不就是为了干这个活的吗,介于公司业务在个人手机上的问题,BYOD 。
前提是到底有没有监控数据,如果有监控需要告知,使用个别的手机得了。 802.1x 现在要做证书的,那是对设备准入要求比较严格的公司了,连 mac bypass 都不行,觉得你们可以伪造 MAC 地址。 鉴于上面的描述,感觉准入应该都用了多因子,不单纯是某一种方式了。 |
 |
35
ihwbunny 2021-08-02 03:21:39 +08:00
1. 一个证书怎么会有监控的功能?只能是认证和加密通讯。
2. vpn 如果是 app 到是不好说,如果只是只是通过描述文件来设置 iOS 的 VPN 配置,那又是另外一回事。 |
 |
36
yEhwG10ZJa83067x 2021-08-02 07:49:01 +08:00
题外话,如果是像小米那种手机分身是不是可以完美避开这个坑。公司 wifi 就新开一个分身系统?
|
 |
37
0gys 2021-08-02 08:13:22 +08:00 via iPhone
理论上是可以,但小公司一般不会。如果被监听了你可以试一试打开 apple 商店,监听了就打不开商店
|
|
38
0gys 2021-08-02 08:15:08 +08:00 via iPhone
因为如果是自签证书的话,apple 有防患措施。
|
 |
39
dingyx99 2021-08-02 08:16:39 +08:00
建议还是准备另一个手机拿来处理公司的内容吧
|
 |
40
westjt 2021-08-02 08:18:33 +08:00
第一个连 wifi 情况, 也有可能是要你信任公司的认证服务器的证书, 认证服务器证书就是自签发的.
第二个情况: 一些 openVPN 客户端软件国内国内 appstroe 上是下架了的, 所以没法上面下. 这个其实是正常的. 光看你描述不能确定. 第一个你可以把截图发出来, 第二 你可以直接把 app 名字发出来, 进一步看看. |
 |
41
jinhan13789991 2021-08-02 09:46:40 +08:00
买个备用机放公司用
|
 |
42
Xushet 2021-08-02 09:49:43 +08:00 via Android
这不简单搞个备用机不就得了
|
 |
43
thtznet 2021-08-02 10:38:04 +08:00
你们公司都要求证书签名了,安全性要求这么高了,怎么会允许企业数据跑在个人手机上?这不是 2 相矛盾么?
|
 |
44
xuboying 2021-08-02 10:47:59 +08:00
做全套 的公司一般能提供 phone 和 sim
|
 |
45
tankren 2021-08-02 10:55:58 +08:00
这种公司不是一般配手机?
|
 |
46
FS1P7dJz 2021-08-02 11:03:27 +08:00
两套手机咯
我连工作手机的 apple id 都不是一个 |
 |
47
gps949 2021-08-02 12:15:28 +08:00
其实根本不用考虑那么复杂。只问自己两个问题就行:
1 、自己公司规模大不大,是几十几百人的小公司,还是成千上万人的大公司。 2 、大多数同事是按公司要求连 wifi 、vpn 了,还是不连想别的办法进行工作。 问这些的目的其实就一个,不管技术手段能不能监控操纵,总归还是需要投入人去做的,如果是上万人的公司且大多数同事都这么连这么用的,那他想全部实时监控投入的成本就过高而不会搞了(不过不排除要是有矛盾了会查库翻旧账)。 如果是个几十几百人的巴掌大点的公司还这么搞,除非你们做的工作就是涉及国家秘密的,否则就别折腾了 |
 |
48
Lemeng 2021-08-02 12:21:08 +08:00
要求公司提供手机,哪有自己手机弄这些的,实在不行,我会安在备用机上
|
 |
49
Hardrain 2021-08-02 15:48:47 +08:00
安装了根证书后,任何拥有这个证书对应的私钥者都可以监听你的 TLS 通讯.
除非客户端的应用有某些反制机制, 如 HPKP 或 App 自行实现的公钥固定. 解决:要求公司提供工作专用手机 |
 |
50
mahone3297 2021-08-02 16:41:53 +08:00
证书有这么大权限?这个从技术上是如何理解的?不是应该安装 app 风险更大?向大家请教。
|
 |
55
shutongxinq 2021-08-03 06:08:07 +08:00 via iPhone
公司想在公司的手机上怎么折腾你就不要管了。
|
Select Language