这是一个创建于 1614 天前的主题,其中的信息可能已经有所发展或是发生改变。
第一个,公司的一些工作比如 oa, 订餐,流程处理需要连接公司 wifi,当第一次接入时提示安装根证书。无法拒绝
第二个,公司为方便员工出差联网,为手机提供了 v pn,安装的 app 是企业应用,不在 appstore 下载,而是提供信任的描述文件。
手机为 iphone12 未越狱,想请教大牛:
1 第一个植入的根证书,是不是只有在连接公司 wifi 时才有可能解密手机流量?不联网使用 sim 卡 5g 就没有问题吧?根证书不能实时监控其他操作吧?比如手机截图?
2 v pn 只要不起用连接,也无法监控手机流量吧?
 | 1 galenzhao 2021-08-01 12:15:23 +08:00 via iPhone 理论上看是啥证书 mdm 的话,所有内容都能看 遇到这种 要求公司提供手机 |
 | 2 AkideLiu 2021-08-01 12:27:20 +08:00 via iPhone  5 第一个我感觉是 802.1x WLAN,如果你们 WiFi 要输入用户名+密码并且信任证书那就是了。这种应该不涉及流量解密 https://support.apple.com/en-au/guide/mac-help/mchlp2388/mac |
 | 3 0o0o0o0 2021-08-01 12:33:31 +08:00 是,只有连公司网络的时候才会被监控 安卓的话手机分身应该可以解决 |
 | 4 agagega 2021-08-01 12:39:47 +08:00 via iPhone 系统里会写这个描述文件有哪些权限。理论上这个描述文件的权限可以非常高。 |
 | 5 xiangguacheng 2021-08-01 12:50:35 +08:00 via Android 1 什么公司这么垃圾 |
 | 6 crab 2021-08-01 12:55:55 +08:00 3 @xiangguacheng 这是很正常操作吧? |
 | 7 villivateur 2021-08-01 13:00:12 +08:00 via Android 2 这种情况我觉得可以让公司提供一个专门用于工作的手机。私人手机不装公司相关数据 |
 | 8 icyalala 2021-08-01 13:04:36 +08:00 @xiangguacheng 可能是阿里。。 你要看它的证书类型,如果只是个 Root CA,那走外网基本问题不大。 但如果是 MDM,基本相当于你手机被公司控制了,原则上公司办公不应该使用个人设备,应该让公司给你发手机。 至于企业应用,那个倒不用担心,没什么特殊权限的。 |
 | 9 Tumblr 2021-08-01 13:08:35 +08:00 11 企业 wifi 一般是用 802.1x 验证的,并且多数是用设备证书和用户证书。想信任这些证书,前提是你的设备上已经信任了公司的根证书,所以什么解密手机流量啊什么监控操作啊,你想太多了。至于 vpn 的那个,一般的公司策略是企业流量走 vpn,其它流量不干预,不过这具体要看你们的配置了。 @xiangguacheng #5 这位兄台肯定没有在一些像微软、苹果、华为、腾讯这样的“垃圾”公司做过吧? |
 | 10 pupboss 2021-08-01 13:14:41 +08:00 via iPhone MDM 证书的权限可以非常高,比如清除锁屏密码,抹掉内容,我也不装这个证书 至于 Root CA 其实问题不大,很多 app 都做了防 MITM 的措施,公司如果监听数据,app 会不响应,只要你没遇到过这个情况就可以证明公司没监听你的网络 企业应用这条得见仁见智,不上架 app store 的应用,是可以写一些比较脏的代码,调用私有 API 什么的,具体多脏那你得转岗去看看怎么研发的才行 |
 | 11 pengtdyd 2021-08-01 13:32:44 +08:00 你都用得起 iphone12 了,再买个国产千元机使使不是什么问题吧 |
 | 12 xenme 2021-08-01 14:12:00 +08:00 via iPhone 1 1. 没啥问题,可以不用公司无线就行 2. mdm 可以直接看证书给的授权,虽然可以完全控制,正规公司,一般人也是没权限查看涉及个人数据的。二般还是买个手机算了。 |
 | 13 Tink PRO 正常操作 |
 | 14 1002xin 2021-08-01 14:34:35 +08:00 1 要求公司配发手机,不配发的自己搞个备用机吧 |
 | 15 paradoxs 2021-08-01 14:39:00 +08:00 去海鲜市场买台 300 元的二手红米手机,随便整起 |
 | 16 masterclock 2021-08-01 15:32:07 +08:00 这种模式,不是必须使用配发的手机,不允许使用其他手机的吗? |
 | 17 Howlaind 2021-08-01 16:52:51 +08:00 via Android 业务上的东西要装在私人手机上,对业务对个人都不够安全。 |
 | 18 Mitt 2021-08-01 17:38:22 +08:00 1 @pupboss #10 事实上做 防 MITM 操作的 APP 仅在少数,你自己抓包就能看出来,至少我手机两百多个 APP 还没遇到几个防 MITM 的,大多都是自己包了一层加密 MDM 的话其实如果会看也行的,MDM 描述文件安装的时候会把权限全部列出来,如果没有强制性描述的话,比如只是信任 CA,安装 APP,那么 MDM 其实对你手机的监管只有强行移除你的设备,删除 MDM 安装的 APP 和数据,除此之外不会对你手机有额外的操作权限,但是如果有强制性的描述的话,那就有很高权限了 |
 | 19 efaun 2021-08-01 17:54:35 +08:00 |
 | 20 xuanbg 2021-08-01 18:13:11 +08:00 证书权限再怎么高,你用 4G/5G 流量的话他也没招。 |
 | 21 ryh 2021-08-01 19:03:39 +08:00 @xuanbg MDM 又不是监控流量,而是相对于安装后,这个手机是公司财产,MDM 的管理员有完全的管理手机的权利 针对 Apple 设备的完整 MDM 有效负载列表 https://support.apple.com/zh-cn/guide/mdm/mdm5370d089/1/web/1.0 |
| 22 pupboss 2021-08-01 19:04:57 +08:00 via iPhone @efaun 好像很多人都误会了,装一个 CA 证书本身没啥卵用的,他得配合 DNS 污染和中间人攻击才行,说人话就是,除非你在公司连着 wifi,或者出了公司用公司指定的 DNS(几乎没人用吧),否则这个证书没任何用 |
| 24 pupboss 2021-08-01 19:11:51 +08:00 4 @efaun 公司 wifi+公司 DNS+公司的 CA,从技术上可以监听 HTTPS 流量,公司 wifi+公司 DNS,几乎 100%被监听 HTTP 非加密流量,反正就是最好避免用公司的网络干私事 |
| 25 pupboss 2021-08-01 19:12:31 +08:00 |
 | 27 he110comex 2021-08-01 19:24:20 +08:00 买个千元备用安卓机,求个安心。 |
 | 31 yolee599 2021-08-01 20:52:58 +08:00 via Android 可以要求公司配发工作专用手机 |
 | 32 moln 2021-08-01 20:55:33 +08:00 @efaun 看你的梯子怎么配置,如果 ws+vless+tls 可以中间人攻击 sni,vless 没加密就能监控到,如果 vmess 因为多一层加密就监控不到 |
 | 33 hullopanda 2021-08-01 22:19:24 +08:00 1 @Howlaind MDM 方案不就是为了干这个活的吗,介于公司业务在个人手机上的问题,BYOD 。 前提是到底有没有监控数据,如果有监控需要告知,使用个别的手机得了。 802.1x 现在要做证书的,那是对设备准入要求比较严格的公司了,连 mac bypass 都不行,觉得你们可以伪造 MAC 地址。 鉴于上面的描述,感觉准入应该都用了多因子,不单纯是某一种方式了。 |
 | 35 ihwbunny 2021-08-02 03:21:39 +08:00 1. 一个证书怎么会有监控的功能?只能是认证和加密通讯。 2. vpn 如果是 app 到是不好说,如果只是只是通过描述文件来设置 iOS 的 VPN 配置,那又是另外一回事。 |
 | 36 yEhwG10ZJa83067x 2021-08-02 07:49:01 +08:00 题外话,如果是像小米那种手机分身是不是可以完美避开这个坑。公司 wifi 就新开一个分身系统? |
 | 37 0gys 2021-08-02 08:13:22 +08:00 via iPhone 理论上是可以,但小公司一般不会。如果被监听了你可以试一试打开 apple 商店,监听了就打不开商店 |
| 38 0gys 2021-08-02 08:15:08 +08:00 via iPhone 因为如果是自签证书的话,apple 有防患措施。 |
 | 39 dingyx99 2021-08-02 08:16:39 +08:00 建议还是准备另一个手机拿来处理公司的内容吧 |
 | 40 westjt 2021-08-02 08:18:33 +08:00 第一个连 wifi 情况, 也有可能是要你信任公司的认证服务器的证书, 认证服务器证书就是自签发的. 第二个情况: 一些 openVPN 客户端软件国内国内 appstroe 上是下架了的, 所以没法上面下. 这个其实是正常的. 光看你描述不能确定. 第一个你可以把截图发出来, 第二 你可以直接把 app 名字发出来, 进一步看看. |
 | 41 jinhan13789991 2021-08-02 09:46:40 +08:00 买个备用机放公司用 |
 | 42 Xushet 2021-08-02 09:49:43 +08:00 via Android 这不简单搞个备用机不就得了 |
 | 43 thtznet 2021-08-02 10:38:04 +08:00 你们公司都要求证书签名了,安全性要求这么高了,怎么会允许企业数据跑在个人手机上?这不是 2 相矛盾么? |
 | 44 xuboying 2021-08-02 10:47:59 +08:00 做全套 的公司一般能提供 phone 和 sim |
 | 45 tankren 2021-08-02 10:55:58 +08:00 这种公司不是一般配手机? |
 | 46 FS1P7dJz 2021-08-02 11:03:27 +08:00 两套手机咯 我连工作手机的 apple id 都不是一个 |
 | 47 gps949 2021-08-02 12:15:28 +08:00 其实根本不用考虑那么复杂。只问自己两个问题就行: 1 、自己公司规模大不大,是几十几百人的小公司,还是成千上万人的大公司。 2 、大多数同事是按公司要求连 wifi 、vpn 了,还是不连想别的办法进行工作。 问这些的目的其实就一个,不管技术手段能不能监控操纵,总归还是需要投入人去做的,如果是上万人的公司且大多数同事都这么连这么用的,那他想全部实时监控投入的成本就过高而不会搞了(不过不排除要是有矛盾了会查库翻旧账)。 如果是个几十几百人的巴掌大点的公司还这么搞,除非你们做的工作就是涉及国家秘密的,否则就别折腾了 |
 | 48 Lemeng 2021-08-02 12:21:08 +08:00 要求公司提供手机,哪有自己手机弄这些的,实在不行,我会安在备用机上 |
 | 49 Hardrain 2021-08-02 15:48:47 +08:00 安装了根证书后,任何拥有这个证书对应的私钥者都可以监听你的 TLS 通讯. 除非客户端的应用有某些反制机制, 如 HPKP 或 App 自行实现的公钥固定. 解决:要求公司提供工作专用手机 |
 | 50 mahone3297 2021-08-02 16:41:53 +08:00 证书有这么大权限?这个从技术上是如何理解的?不是应该安装 app 风险更大?向大家请教。 |
 | 55 shutongxinq 2021-08-03 06:08:07 +08:00 via iPhone 公司想在公司的手机上怎么折腾你就不要管了。 |
Select Language