视频: therunofsummer (十一月 2024)
令黑莓大为恼火的是,大多数人对随身携带的工作电话以及他们自己挑选的有趣智能电话都不感兴趣。 这就是为什么大公司在移动设备管理(MDM)上进行了大量投资的原因。 但是这些安全工具的安全性如何? 最近的一次黑帽表演有令人惊讶的答案。
对于不在大公司中的人,MDM让公司的IT主管可以一定程度地控制员工的个人电话-当然要得到他们的同意。 例如,MDM可以隔离用于机密数据的空间并安装特殊的公司应用程序。 这是一个至关重要的安全工具,但是NTT Com Security的Stephen Breen和Chris Camejo认为我们应该问一些非常棘手的问题,以证明它的真正安全性。
有什么风险
主持人说,目前有1.8亿个使用MDM的自带设备,并且这个数字到2015年预计将增长到390毫安。Camejo表示,超过80%的公司计划为其他们的MDM解决方案推出雇员。 他们中的大多数访问公司电子邮件。
通过他们的渗透测试,两人发现了无数漏洞。 其中大多数都是非常基础的,例如忽略身份验证,不加密就发送登录令牌(在某些情况下,将这些令牌配置为永不过期),甚至为进行更复杂的攻击奠定了基础。
该团队总结说,只要付出很少的努力,攻击者就可以获取个人信息,甚至可以使用MDM服务器擦除无辜的电话。 他们发现的最糟糕的攻击可能是在攻击者的设备上模仿了合法手机的身份。 攻击者的电话现在可以访问合法用户可以访问的所有内容:电子邮件,共享驱动器,文档等。
使问题复杂化的是,许多不同的供应商都犯了相同或相似的错误。 因此,这些探针在不同的提供者中是地方性的。 有趣的是,由于苹果对MDM开发人员提出了严格的要求,因此大部分演讲都集中在iOS上。 据布林说,苹果公司的做法听起来不错。
不安全的安全
主持人在演讲结束时向听众提供了一些令人惊讶的建议。 最重要的是,公司应该非常非常仔细地考虑他们在网络上部署的内容。 他们建议,也许可以完全放弃MDM。
卡梅霍说:“一切都会增加攻击面。” 这听起来可能很无情,但是如果一个员工的电话被盗,那么盗贼只能访问该员工的信息。 但是MDM允许更多的损害。 “脆弱的MDM服务器比没有MDM的移动设备更糟糕。”
他还说过,MDM公司要为隐秘的安全性负责。 卡梅霍说,他们发现的问题并不难发现。 这意味着人们根本就不是在寻找漏洞,这可能是因为获得MDM软件需要付出高昂的代价。
当然,这不是我们第一次看到MDM用于邪恶。 不久前,Skycure使用所谓的恶意配置文件攻击来控制我的iPhone。 这是一种可能比其要解决的问题更糟糕的解决方案。
