背景
我的公司目前正在推出对 iPhone 的支持。作为此次推广的一部分,他们要求员工在手机上安装一个应用程序,允许 IT 将配置文件推送到设备,以强制执行密码锁定、备份加密等操作。但是,该应用程序还使用位置服务 API,用于报告设备当前的大致位置(最近的手机信号塔)以及有关设备的一般信息。每次手机连接到新的手机信号塔时,它都会向他们的管理控制台报告。这个要求的原因是他们说,否则他们不能总是确保设备没有越狱,从而可能绕过他们的安全策略。
问题
用户与越狱 iPhone 连接的威胁是合法的企业安全问题吗?IT 部门能够跟踪员工设备的大致位置是否值得隐私影响?
关于您关于隐私权衡的问题的第二部分,这在很大程度上取决于所讨论的组织及其优先级。
不幸的是,许多公司将他们的安全问题放在议程上,而不是员工的隐私问题(除非监管要求另有规定)。
在第一部分,我知道越狱的 iPhone 存在一些潜在风险。
首先是对应用更新的限制。应用 Apple 安全更新可能会有延迟,因为越狱并不总是适用于该版本。
其次是担心越狱或之后安装的软件可能会危及 iPhone 的安全性(例如,来自越狱设备的 SSH 守护程序的默认密码)。可以假设从官方 Apple 商店安装的 iOS 应用程序的质量和安全控制对其他来源的应用程序不存在。
还拥有越狱设备可能允许用户禁用公司安装的安全软件,我猜这是他们不热衷于它的另一个原因。
越狱的 iPhone 是否存在企业安全风险?
潜在的。我认为没有数据很难确定。一方面,越狱手机的用户通常了解计算机和移动设备。他们可能不太容易受到网络钓鱼的影响,并且可能对其设备的安全性更加警惕。另一方面,越狱允许安装网络访问应用程序,如 ssh、ftp、bittorrent 和其他点对点程序,攻击者可能使用这些应用程序来威胁更大的系统。他们安装带有恶意软件的应用程序的风险可能更高。
用户与越狱 iPhone 连接的威胁是合法的企业安全问题吗?
这是一个令人担忧的问题,但我认为这是因为 iPhone 以及任何个人联网移动设备都威胁着传统的 IT 运营和控制模式。
传统上,IT 部门决定购买什么设备、如何配置、分配到哪里以及谁来使用它。此外,他们还负责为用户提供连接,管理使用户高效的服务,并在用户需要帮助时为他们提供支持。
看看 iPhone(或类似设备)对那个模型做了什么。用户购买了它,配置了它(可能有外部支持),它由个人永久分配和使用。用户从外部源获得连接,但仍希望与公司网络连接。
IT 部门不再拥有对其进行配置、撤销所有连接(他们只能撤销企业连接)或撤销设备分配或使用的固有权利。随着智能手机的普及和不断增长的需求,在这种情况下,iPhone 是否为企业所有并不重要,因为越来越多的员工将拥有存在相同问题的个人智能手机。
IT 部门能够跟踪员工设备的大致位置是否值得隐私影响?
我不是律师,但根据公司所在的司法管辖区以及使用 iPhone 的司法管辖区,可能会产生重要的法律影响。我建议就这个问题寻求适当的法律意见。
除了法律风险,我认为用户对 IT 部门失去信任的风险确实存在。在我看来,IT 需要用户的信任。单方面行动的强硬 IT 部门会发现自己面临越来越大的内部威胁。尊重 IT 部门的用户更有可能听取警告、参加培训并报告问题或问题。
这是我在与应用程序制造商讨论越狱的影响时用于威胁模型的输入。请记住,我对您的公司一无所知,您将在 iPhone 上存储/访问的资产的价值(对您或对攻击者而言),攻击者可能是谁等等。
对于未越狱的 iPhone,我认为设备上的软件完全在所有者的控制之下。如果手机设置为企业部署,则安装代码的机会仅限于 App Store 和企业部署配置。
这意味着我们可以将自己限制在已部署应用程序中的漏洞(以及木马数据发送功能的可能性)以及这些应用程序中可用的数据。在这种情况下,我认为最有可能的风险是丢失手机;要么最终落入攻击者手中,要么落入对数据泄露采取零容忍政策的行业。利用已安装的应用程序访问数据是可能的,但我预计除非您的特定用户成为目标,否则这不太可能。有比 iPhone 更好的东西来制作僵尸网络。
了解已安装应用程序的威胁态势可能意味着要求供应商进行评估,并且仅在供应商可以提供此类信息的情况下部署应用程序。供应商愿意走多远才能获得一美元的销售额是一个悬而未决的问题。第三方漏洞评估可能是一种选择。
正如弗劳恩霍夫研究所的论文中所报道的那样,Apple 提供的 iOS 应用程序中的一些数据没有使用文件保护工具进行保护,因为它需要在设备被锁定时被后台服务使用。这意味着,在找到周围的设备时,攻击者可以访问此类数据。不过,邮件附件等业务内容并不属于这些数据的一部分,而且苹果确实在报告发布后对部分数据的保护状态进行了升级。通过评估应用程序可以再次发现第三方应用程序中使用的数据是否以这种方式受到保护。
当数据受到保护时,只有在用户输入正确的密码后才能访问(包括内核在内的操作系统的任何部分),因此数据保护与密码强度一致。iOS 从密码中获取保护密钥的方式消除了离线攻击的可能性,并强制在线攻击以非常慢的速度进行(可以选择在多次尝试失败后强制删除数据)。
好的,这是一部未越狱的 iPhone。现在让我们考虑一下过渡:如何越狱 iPhone?第一种选择是机主故意手动越狱,这是最有可能的途径。根据我的经验,所有者不一定是技术用户;朋友或同事可能会告诉他们越狱可以让他们获得更多控制权,或者通过Cydia或类似工具获得更多应用程序。大多数越狱文档都要求用户更改默认的 root 密码,因此在这种情况下,攻击者很可能不知道手机的 root 凭据。
第二种选择是路过式越狱,例如使用 PDF 漏洞。这可能是所有者故意发起的,也可能是他们被迫访问例如以电子邮件形式发送的易受攻击的文件。大多数越狱工作的方式是修改引导加载程序以加载非 OEM 内核。这意味着在用户重新启动手机之前,越狱功能将不可用,此时任何解锁加密密钥都已被丢弃。
最后一种选择是手机处于攻击者的控制之下,然后攻击者使用手动越狱技术。这不需要攻击者知道密码。越狱后仍然需要密码才能访问受保护的数据,因为解密密钥是从该密码派生的。为了检索受保护的数据,攻击者需要将越狱设备的控制权交还给所有者。本质上,攻击者需要独占访问手机约 15 分钟:我认为这不太可能;社会工程攻击(或直接的盗窃和退货)的可能性很小。
那么越狱的 iPhone可以做什么呢?传统观点认为任何事情都可以做,手机的操作系统现在和普通的桌面操作系统一样开放。但让我们考虑各种情况的可能性。
首先,与未越狱的 iPhone 相关的所有风险仍然存在。
安装常见的第三方远程访问或监控工具,例如,sshd如果它们是越狱操作系统映像的一部分,如果攻击者有将它们部署到手机上的路线(比如在上面列出的最后一个越狱路线中控制设备时) ) 或者如果用户选择或被迫安装该工具。在这种情况下sshd,攻击者必须知道手机的有效凭据,例如默认的 root 密码。由于存在此类工具的预打包构建,因此这种攻击不需要聪明或足智多谋的攻击者。因为越狱手机解除了股票内核的沙盒限制,远程访问工具可以访问所有应用程序中的所有文件——包括设备解锁时受保护的文件。
攻击者可以通过与安装库存工具类似的机制,部署特殊软件,例如现有应用程序的特洛伊木马版本,或自定义恶意软件,例如事件记录器和上传器。这是同一攻击的技术更先进的版本,并且因为与使用标准工具相比,它并没有真正为攻击者提供太多好处,我认为它不太可能。这种攻击的(ab)用例是应用程序使用自己的内部身份验证和加密协议,并且攻击者需要获取用户的应用程序内凭据或以其他方式查看其他人从未出现的应用程序内内容操作系统以可读的方式。
因此得出的结论是,与普通 iPhone 相比,越狱 iPhone 存在更多风险:事实上,越狱手机的攻击面是普通手机攻击面的超集。那很重要吗?正如我在顶部所说,这取决于您的用户和您的资产。
用户与越狱 iPhone 连接的威胁是合法的企业安全问题吗?
是的。正如@marknca 出色的iOS 安全指南所述:
当设备使用越狱版本的 iOS 时,它可以运行任何它想要的 Objective-C 代码。这意味着不再依赖所有的 iOS API 保护。因此,在您的企业部署中允许越狱设备会带来重大风险,因为它们不会被迫遵守您实施的技术控制。越狱会在设备上留下可以在分析期间检测到的取证伪影,但这无助于维护网络的完整性,因为您必须拥有设备才能执行此分析。当前的 MDM(移动设备管理)供应商支持各种形式的无线检测越狱设备。就像越狱本身一样,这是一场不断来回的检测和隐藏游戏。”
有许多缓解措施可以降低 iPhone 越狱的风险:
我在这里提供了有关这些策略的更多详细信息:http ://www.rakkhis.com/2010/07/iphone-and-android-securely-in.html
IT 部门能够跟踪员工设备的大致位置是否值得隐私影响?
请注意,上述策略都不需要跟踪设备位置。据我所见,上述关于越狱手机的风险都没有通过跟踪位置来减轻。无论是否有意,它都可能导致员工的强烈反对,因为它被视为出于行为或生产力目的而跟踪他们的位置。
为安全和隐私设计定位服务并不是一个简单的挑战。如果公司认为有正当理由并向员工清楚地传达了这一点,那么它应该能够遵守以下原则:
我就这个主题做了一个演示,幻灯片在这里: http ://www.slideshare.net/rakkhi/designing-location-services-for-privacy