V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
moonfarmer
V2EX  ›  iPhone

工作原因必须连接公司 wifi,要求安装根证书

  •  1
     
  •   moonfarmer · 52 天前 · 8593 次点击
    这是一个创建于 52 天前的主题,其中的信息可能已经有所发展或是发生改变。

    第一个,公司的一些工作比如 oa, 订餐,流程处理需要连接公司 wifi,当第一次接入时提示安装根证书。无法拒绝
    第二个,公司为方便员工出差联网,为手机提供了 v pn,安装的 app 是企业应用,不在 appstore 下载,而是提供信任的描述文件。

    手机为 iphone12 未越狱,想请教大牛:

    1 第一个植入的根证书,是不是只有在连接公司 wifi 时才有可能解密手机流量?不联网使用 sim 卡 5g 就没有问题吧?根证书不能实时监控其他操作吧?比如手机截图?
    2 v pn 只要不起用连接,也无法监控手机流量吧?

    55 条回复    2021-08-03 06:08:07 +08:00
    galenzhao
        1
    galenzhao   52 天前 via iPhone
    理论上看是啥证书 mdm 的话,所有内容都能看
    遇到这种 要求公司提供手机
    AkideLiu
        2
    AkideLiu   52 天前 via iPhone   ❤️ 5
    第一个我感觉是 802.1x WLAN,如果你们 WiFi 要输入用户名+密码并且信任证书那就是了。这种应该不涉及流量解密
    https://support.apple.com/en-au/guide/mac-help/mchlp2388/mac
    0o0o0o0
        3
    0o0o0o0   52 天前
    是,只有连公司网络的时候才会被监控
    安卓的话手机分身应该可以解决
    agagega
        4
    agagega   52 天前 via iPhone
    系统里会写这个描述文件有哪些权限。理论上这个描述文件的权限可以非常高。
    xiangguacheng
        5
    xiangguacheng   52 天前 via Android   ❤️ 1
    什么公司这么垃圾
    crab
        6
    crab   52 天前   ❤️ 3
    @xiangguacheng 这是很正常操作吧?
    villivateur
        7
    villivateur   52 天前 via Android   ❤️ 2
    这种情况我觉得可以让公司提供一个专门用于工作的手机。私人手机不装公司相关数据
    icyalala
        8
    icyalala   52 天前
    @xiangguacheng 可能是阿里。。

    你要看它的证书类型,如果只是个 Root CA,那走外网基本问题不大。
    但如果是 MDM,基本相当于你手机被公司控制了,原则上公司办公不应该使用个人设备,应该让公司给你发手机。
    至于企业应用,那个倒不用担心,没什么特殊权限的。
    Tumblr
        9
    Tumblr   52 天前   ❤️ 11
    企业 wifi 一般是用 802.1x 验证的,并且多数是用设备证书和用户证书。想信任这些证书,前提是你的设备上已经信任了公司的根证书,所以什么解密手机流量啊什么监控操作啊,你想太多了。至于 vpn 的那个,一般的公司策略是企业流量走 vpn,其它流量不干预,不过这具体要看你们的配置了。

    @xiangguacheng #5 这位兄台肯定没有在一些像微软、苹果、华为、腾讯这样的“垃圾”公司做过吧?
    pupboss
        10
    pupboss   52 天前 via iPhone
    MDM 证书的权限可以非常高,比如清除锁屏密码,抹掉内容,我也不装这个证书

    至于 Root CA 其实问题不大,很多 app 都做了防 MITM 的措施,公司如果监听数据,app 会不响应,只要你没遇到过这个情况就可以证明公司没监听你的网络

    企业应用这条得见仁见智,不上架 app store 的应用,是可以写一些比较脏的代码,调用私有 API 什么的,具体多脏那你得转岗去看看怎么研发的才行
    pengtdyd
        11
    pengtdyd   52 天前
    你都用得起 iphone12 了,再买个国产千元机使使不是什么问题吧
    xenme
        12
    xenme   52 天前 via iPhone   ❤️ 1
    1. 没啥问题,可以不用公司无线就行
    2. mdm 可以直接看证书给的授权,虽然可以完全控制,正规公司,一般人也是没权限查看涉及个人数据的。二般还是买个手机算了。
    Tink
        13
    Tink   52 天前 via Android
    正常操作
    1002xin
        14
    1002xin   52 天前   ❤️ 1
    要求公司配发手机,不配发的自己搞个备用机吧
    paradoxs
        15
    paradoxs   52 天前
    去海鲜市场买台 300 元的二手红米手机,随便整起
    masterclock
        16
    masterclock   52 天前
    这种模式,不是必须使用配发的手机,不允许使用其他手机的吗?
    Howlaind
        17
    Howlaind   52 天前 via Android
    业务上的东西要装在私人手机上,对业务对个人都不够安全。
    Mitt
        18
    Mitt   51 天前   ❤️ 1
    @pupboss #10 事实上做 防 MITM 操作的 APP 仅在少数,你自己抓包就能看出来,至少我手机两百多个 APP 还没遇到几个防 MITM 的,大多都是自己包了一层加密

    MDM 的话其实如果会看也行的,MDM 描述文件安装的时候会把权限全部列出来,如果没有强制性描述的话,比如只是信任 CA,安装 APP,那么 MDM 其实对你手机的监管只有强行移除你的设备,删除 MDM 安装的 APP 和数据,除此之外不会对你手机有额外的操作权限,但是如果有强制性的描述的话,那就有很高权限了
    efaun
        19
    efaun   51 天前
    @galenzhao #1
    @0o0o0o0 #3
    @crab #6
    @icyalala #8
    @Tumblr #9
    @pupboss #10

    像 1.中的装证书监控流量这种操作,我全程梯子,还能监控到吗?
    xuanbg
        20
    xuanbg   51 天前
    证书权限再怎么高,你用 4G/5G 流量的话他也没招。
    ryh
        21
    ryh   51 天前
    @xuanbg MDM 又不是监控流量,而是相对于安装后,这个手机是公司财产,MDM 的管理员有完全的管理手机的权利

    针对 Apple 设备的完整 MDM 有效负载列表
    https://support.apple.com/zh-cn/guide/mdm/mdm5370d089/1/web/1.0
    pupboss
        22
    pupboss   51 天前 via iPhone
    @efaun 好像很多人都误会了,装一个 CA 证书本身没啥卵用的,他得配合 DNS 污染和中间人攻击才行,说人话就是,除非你在公司连着 wifi,或者出了公司用公司指定的 DNS(几乎没人用吧),否则这个证书没任何用
    efaun
        23
    efaun   51 天前
    @pupboss #22 我们公司就是必须用公司的 wifi+公司的 dns 才能上网😱这是不是就可以监控了
    pupboss
        24
    pupboss   51 天前   ❤️ 4
    @efaun 公司 wifi+公司 DNS+公司的 CA,从技术上可以监听 HTTPS 流量,公司 wifi+公司 DNS,几乎 100%被监听 HTTP 非加密流量,反正就是最好避免用公司的网络干私事
    pupboss
        25
    pupboss   51 天前
    efaun
        26
    efaun   51 天前
    @pupboss #24 感谢,那我用梯子可以绕过流量监控吗
    he110comex
        27
    he110comex   51 天前
    买个千元备用安卓机,求个安心。
    ik
        28
    ik   51 天前 via iPhone
    @efaun wss 是可以的吧, $$不懂不清楚
    ik
        29
    ik   51 天前 via iPhone
    @efaun 表达错了,公司 dns + ca: wss 是可以被监控的…
    efaun
        30
    efaun   51 天前
    @ik #29 看来在公司摸鱼还是老老实实用手机流量吧🙃
    yolee599
        31
    yolee599   51 天前 via Android
    可以要求公司配发工作专用手机
    moln
        32
    moln   51 天前
    @efaun 看你的梯子怎么配置,如果 ws+vless+tls 可以中间人攻击 sni,vless 没加密就能监控到,如果 vmess 因为多一层加密就监控不到
    hullopanda
        33
    hullopanda   51 天前   ❤️ 1
    @Howlaind MDM 方案不就是为了干这个活的吗,介于公司业务在个人手机上的问题,BYOD 。
    前提是到底有没有监控数据,如果有监控需要告知,使用个别的手机得了。
    802.1x 现在要做证书的,那是对设备准入要求比较严格的公司了,连 mac bypass 都不行,觉得你们可以伪造 MAC 地址。
    鉴于上面的描述,感觉准入应该都用了多因子,不单纯是某一种方式了。
    IvanLi127
        34
    IvanLi127   51 天前 via Android
    @crab #6 正常操作不是提供已经由 IT 配置好的终端设备嘛
    ihwbunny
        35
    ihwbunny   51 天前
    1. 一个证书怎么会有监控的功能?只能是认证和加密通讯。
    2. vpn 如果是 app 到是不好说,如果只是只是通过描述文件来设置 iOS 的 VPN 配置,那又是另外一回事。
    justrand
        36
    justrand   51 天前
    题外话,如果是像小米那种手机分身是不是可以完美避开这个坑。公司 wifi 就新开一个分身系统?
    0gys
        37
    0gys   51 天前 via iPhone
    理论上是可以,但小公司一般不会。如果被监听了你可以试一试打开 apple 商店,监听了就打不开商店
    0gys
        38
    0gys   51 天前 via iPhone
    因为如果是自签证书的话,apple 有防患措施。
    dingyx99
        39
    dingyx99   51 天前
    建议还是准备另一个手机拿来处理公司的内容吧
    westjt
        40
    westjt   51 天前
    第一个连 wifi 情况, 也有可能是要你信任公司的认证服务器的证书, 认证服务器证书就是自签发的.
    第二个情况: 一些 openVPN 客户端软件国内国内 appstroe 上是下架了的, 所以没法上面下. 这个其实是正常的.
    光看你描述不能确定. 第一个你可以把截图发出来, 第二 你可以直接把 app 名字发出来, 进一步看看.
    jinhan13789991
        41
    jinhan13789991   51 天前
    买个备用机放公司用
    Xushet
        42
    Xushet   51 天前 via Android
    这不简单搞个备用机不就得了
    thtznet
        43
    thtznet   51 天前
    你们公司都要求证书签名了,安全性要求这么高了,怎么会允许企业数据跑在个人手机上?这不是 2 相矛盾么?
    xuboying
        44
    xuboying   51 天前
    做全套 的公司一般能提供 phone 和 sim
    tankren
        45
    tankren   51 天前
    这种公司不是一般配手机?
    FS1P7dJz
        46
    FS1P7dJz   51 天前
    两套手机咯

    我连工作手机的 apple id 都不是一个
    gps949
        47
    gps949   51 天前
    其实根本不用考虑那么复杂。只问自己两个问题就行:
    1 、自己公司规模大不大,是几十几百人的小公司,还是成千上万人的大公司。
    2 、大多数同事是按公司要求连 wifi 、vpn 了,还是不连想别的办法进行工作。

    问这些的目的其实就一个,不管技术手段能不能监控操纵,总归还是需要投入人去做的,如果是上万人的公司且大多数同事都这么连这么用的,那他想全部实时监控投入的成本就过高而不会搞了(不过不排除要是有矛盾了会查库翻旧账)。
    如果是个几十几百人的巴掌大点的公司还这么搞,除非你们做的工作就是涉及国家秘密的,否则就别折腾了
    Lemeng
        48
    Lemeng   51 天前
    要求公司提供手机,哪有自己手机弄这些的,实在不行,我会安在备用机上
    Hardrain
        49
    Hardrain   51 天前
    安装了根证书后,任何拥有这个证书对应的私钥者都可以监听你的 TLS 通讯.
    除非客户端的应用有某些反制机制, 如 HPKP 或 App 自行实现的公钥固定.

    解决:要求公司提供工作专用手机
    mahone3297
        50
    mahone3297   51 天前
    证书有这么大权限?这个从技术上是如何理解的?不是应该安装 app 风险更大?向大家请教。
    whasyt
        51
    whasyt   50 天前
    @pupboss #25 求教这个怎么看?
    pupboss
        52
    pupboss   50 天前
    @whasyt 在关于本机里面的证书
    Tumblr
        53
    Tumblr   50 天前
    @pupboss #52 说错了吧?应该是在设置 -> 通用 -> 配置文件和设备管理里面,关于本机里只是信任。
    efaun
        54
    efaun   50 天前
    @justrand #36 公司 wifi 都需要账号登录,换马甲没用
    shutongxinq
        55
    shutongxinq   50 天前 via iPhone
    公司想在公司的手机上怎么折腾你就不要管了。
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3621 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 09:23 · PVG 17:23 · LAX 02:23 · JFK 05:23
    ♥ Do have faith in what you're doing.