V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
moonfarmer
V2EX  ›  iPhone

工作原因必须连接公司 wifi,要求安装根证书

  •  1
     
  •   moonfarmer · 2021-08-01 12:09:16 +08:00 · 21313 次点击
    这是一个创建于 1209 天前的主题,其中的信息可能已经有所发展或是发生改变。

    第一个,公司的一些工作比如 oa, 订餐,流程处理需要连接公司 wifi,当第一次接入时提示安装根证书。无法拒绝
    第二个,公司为方便员工出差联网,为手机提供了 v pn,安装的 app 是企业应用,不在 appstore 下载,而是提供信任的描述文件。

    手机为 iphone12 未越狱,想请教大牛:

    1 第一个植入的根证书,是不是只有在连接公司 wifi 时才有可能解密手机流量?不联网使用 sim 卡 5g 就没有问题吧?根证书不能实时监控其他操作吧?比如手机截图?
    2 v pn 只要不起用连接,也无法监控手机流量吧?

    55 条回复    2021-08-03 06:08:07 +08:00
    galenzhao
        1
    galenzhao  
       2021-08-01 12:15:23 +08:00 via iPhone
    理论上看是啥证书 mdm 的话,所有内容都能看
    遇到这种 要求公司提供手机
    AkideLiu
        2
    AkideLiu  
       2021-08-01 12:27:20 +08:00 via iPhone   ❤️ 5
    第一个我感觉是 802.1x WLAN,如果你们 WiFi 要输入用户名+密码并且信任证书那就是了。这种应该不涉及流量解密
    https://support.apple.com/en-au/guide/mac-help/mchlp2388/mac
    0o0o0o0
        3
    0o0o0o0  
       2021-08-01 12:33:31 +08:00
    是,只有连公司网络的时候才会被监控
    安卓的话手机分身应该可以解决
    agagega
        4
    agagega  
       2021-08-01 12:39:47 +08:00 via iPhone
    系统里会写这个描述文件有哪些权限。理论上这个描述文件的权限可以非常高。
    xiangguacheng
        5
    xiangguacheng  
       2021-08-01 12:50:35 +08:00 via Android   ❤️ 1
    什么公司这么垃圾
    crab
        6
    crab  
       2021-08-01 12:55:55 +08:00   ❤️ 3
    @xiangguacheng 这是很正常操作吧?
    villivateur
        7
    villivateur  
       2021-08-01 13:00:12 +08:00 via Android   ❤️ 2
    这种情况我觉得可以让公司提供一个专门用于工作的手机。私人手机不装公司相关数据
    icyalala
        8
    icyalala  
       2021-08-01 13:04:36 +08:00
    @xiangguacheng 可能是阿里。。

    你要看它的证书类型,如果只是个 Root CA,那走外网基本问题不大。
    但如果是 MDM,基本相当于你手机被公司控制了,原则上公司办公不应该使用个人设备,应该让公司给你发手机。
    至于企业应用,那个倒不用担心,没什么特殊权限的。
    Tumblr
        9
    Tumblr  
       2021-08-01 13:08:35 +08:00   ❤️ 11
    企业 wifi 一般是用 802.1x 验证的,并且多数是用设备证书和用户证书。想信任这些证书,前提是你的设备上已经信任了公司的根证书,所以什么解密手机流量啊什么监控操作啊,你想太多了。至于 vpn 的那个,一般的公司策略是企业流量走 vpn,其它流量不干预,不过这具体要看你们的配置了。

    @xiangguacheng #5 这位兄台肯定没有在一些像微软、苹果、华为、腾讯这样的“垃圾”公司做过吧?
    pupboss
        10
    pupboss  
       2021-08-01 13:14:41 +08:00 via iPhone
    MDM 证书的权限可以非常高,比如清除锁屏密码,抹掉内容,我也不装这个证书

    至于 Root CA 其实问题不大,很多 app 都做了防 MITM 的措施,公司如果监听数据,app 会不响应,只要你没遇到过这个情况就可以证明公司没监听你的网络

    企业应用这条得见仁见智,不上架 app store 的应用,是可以写一些比较脏的代码,调用私有 API 什么的,具体多脏那你得转岗去看看怎么研发的才行
    pengtdyd
        11
    pengtdyd  
       2021-08-01 13:32:44 +08:00
    你都用得起 iphone12 了,再买个国产千元机使使不是什么问题吧
    xenme
        12
    xenme  
       2021-08-01 14:12:00 +08:00 via iPhone   ❤️ 1
    1. 没啥问题,可以不用公司无线就行
    2. mdm 可以直接看证书给的授权,虽然可以完全控制,正规公司,一般人也是没权限查看涉及个人数据的。二般还是买个手机算了。
    Tink
        13
    Tink  
       2021-08-01 14:20:53 +08:00 via Android
    正常操作
    1002xin
        14
    1002xin  
       2021-08-01 14:34:35 +08:00   ❤️ 1
    要求公司配发手机,不配发的自己搞个备用机吧
    paradoxs
        15
    paradoxs  
       2021-08-01 14:39:00 +08:00
    去海鲜市场买台 300 元的二手红米手机,随便整起
    masterclock
        16
    masterclock  
       2021-08-01 15:32:07 +08:00
    这种模式,不是必须使用配发的手机,不允许使用其他手机的吗?
    Howlaind
        17
    Howlaind  
       2021-08-01 16:52:51 +08:00 via Android
    业务上的东西要装在私人手机上,对业务对个人都不够安全。
    Mitt
        18
    Mitt  
       2021-08-01 17:38:22 +08:00   ❤️ 1
    @pupboss #10 事实上做 防 MITM 操作的 APP 仅在少数,你自己抓包就能看出来,至少我手机两百多个 APP 还没遇到几个防 MITM 的,大多都是自己包了一层加密

    MDM 的话其实如果会看也行的,MDM 描述文件安装的时候会把权限全部列出来,如果没有强制性描述的话,比如只是信任 CA,安装 APP,那么 MDM 其实对你手机的监管只有强行移除你的设备,删除 MDM 安装的 APP 和数据,除此之外不会对你手机有额外的操作权限,但是如果有强制性的描述的话,那就有很高权限了
    efaun
        19
    efaun  
       2021-08-01 17:54:35 +08:00
    @galenzhao #1
    @0o0o0o0 #3
    @crab #6
    @icyalala #8
    @Tumblr #9
    @pupboss #10

    像 1.中的装证书监控流量这种操作,我全程梯子,还能监控到吗?
    xuanbg
        20
    xuanbg  
       2021-08-01 18:13:11 +08:00
    证书权限再怎么高,你用 4G/5G 流量的话他也没招。
    ryh
        21
    ryh  
       2021-08-01 19:03:39 +08:00
    @xuanbg MDM 又不是监控流量,而是相对于安装后,这个手机是公司财产,MDM 的管理员有完全的管理手机的权利

    针对 Apple 设备的完整 MDM 有效负载列表
    https://support.apple.com/zh-cn/guide/mdm/mdm5370d089/1/web/1.0
    pupboss
        22
    pupboss  
       2021-08-01 19:04:57 +08:00 via iPhone
    @efaun 好像很多人都误会了,装一个 CA 证书本身没啥卵用的,他得配合 DNS 污染和中间人攻击才行,说人话就是,除非你在公司连着 wifi,或者出了公司用公司指定的 DNS(几乎没人用吧),否则这个证书没任何用
    efaun
        23
    efaun  
       2021-08-01 19:10:17 +08:00
    @pupboss #22 我们公司就是必须用公司的 wifi+公司的 dns 才能上网😱这是不是就可以监控了
    pupboss
        24
    pupboss  
       2021-08-01 19:11:51 +08:00   ❤️ 4
    @efaun 公司 wifi+公司 DNS+公司的 CA,从技术上可以监听 HTTPS 流量,公司 wifi+公司 DNS,几乎 100%被监听 HTTP 非加密流量,反正就是最好避免用公司的网络干私事
    pupboss
        25
    pupboss  
       2021-08-01 19:12:31 +08:00
    efaun
        26
    efaun  
       2021-08-01 19:14:47 +08:00
    @pupboss #24 感谢,那我用梯子可以绕过流量监控吗
    he110comex
        27
    he110comex  
       2021-08-01 19:24:20 +08:00
    买个千元备用安卓机,求个安心。
    ik
        28
    ik  
       2021-08-01 20:19:50 +08:00 via iPhone
    @efaun wss 是可以的吧, $$不懂不清楚
    ik
        29
    ik  
       2021-08-01 20:21:50 +08:00 via iPhone
    @efaun 表达错了,公司 dns + ca: wss 是可以被监控的…
    efaun
        30
    efaun  
       2021-08-01 20:41:21 +08:00
    @ik #29 看来在公司摸鱼还是老老实实用手机流量吧🙃
    yolee599
        31
    yolee599  
       2021-08-01 20:52:58 +08:00 via Android
    可以要求公司配发工作专用手机
    moln
        32
    moln  
       2021-08-01 20:55:33 +08:00
    @efaun 看你的梯子怎么配置,如果 ws+vless+tls 可以中间人攻击 sni,vless 没加密就能监控到,如果 vmess 因为多一层加密就监控不到
    hullopanda
        33
    hullopanda  
       2021-08-01 22:19:24 +08:00   ❤️ 1
    @Howlaind MDM 方案不就是为了干这个活的吗,介于公司业务在个人手机上的问题,BYOD 。
    前提是到底有没有监控数据,如果有监控需要告知,使用个别的手机得了。
    802.1x 现在要做证书的,那是对设备准入要求比较严格的公司了,连 mac bypass 都不行,觉得你们可以伪造 MAC 地址。
    鉴于上面的描述,感觉准入应该都用了多因子,不单纯是某一种方式了。
    IvanLi127
        34
    IvanLi127  
       2021-08-01 23:44:30 +08:00 via Android
    @crab #6 正常操作不是提供已经由 IT 配置好的终端设备嘛
    ihwbunny
        35
    ihwbunny  
       2021-08-02 03:21:39 +08:00
    1. 一个证书怎么会有监控的功能?只能是认证和加密通讯。
    2. vpn 如果是 app 到是不好说,如果只是只是通过描述文件来设置 iOS 的 VPN 配置,那又是另外一回事。
    yEhwG10ZJa83067x
        36
    yEhwG10ZJa83067x  
       2021-08-02 07:49:01 +08:00
    题外话,如果是像小米那种手机分身是不是可以完美避开这个坑。公司 wifi 就新开一个分身系统?
    0gys
        37
    0gys  
       2021-08-02 08:13:22 +08:00 via iPhone
    理论上是可以,但小公司一般不会。如果被监听了你可以试一试打开 apple 商店,监听了就打不开商店
    0gys
        38
    0gys  
       2021-08-02 08:15:08 +08:00 via iPhone
    因为如果是自签证书的话,apple 有防患措施。
    dingyx99
        39
    dingyx99  
       2021-08-02 08:16:39 +08:00
    建议还是准备另一个手机拿来处理公司的内容吧
    westjt
        40
    westjt  
       2021-08-02 08:18:33 +08:00
    第一个连 wifi 情况, 也有可能是要你信任公司的认证服务器的证书, 认证服务器证书就是自签发的.
    第二个情况: 一些 openVPN 客户端软件国内国内 appstroe 上是下架了的, 所以没法上面下. 这个其实是正常的.
    光看你描述不能确定. 第一个你可以把截图发出来, 第二 你可以直接把 app 名字发出来, 进一步看看.
    jinhan13789991
        41
    jinhan13789991  
       2021-08-02 09:46:40 +08:00
    买个备用机放公司用
    Xushet
        42
    Xushet  
       2021-08-02 09:49:43 +08:00 via Android
    这不简单搞个备用机不就得了
    thtznet
        43
    thtznet  
       2021-08-02 10:38:04 +08:00
    你们公司都要求证书签名了,安全性要求这么高了,怎么会允许企业数据跑在个人手机上?这不是 2 相矛盾么?
    xuboying
        44
    xuboying  
       2021-08-02 10:47:59 +08:00
    做全套 的公司一般能提供 phone 和 sim
    tankren
        45
    tankren  
       2021-08-02 10:55:58 +08:00
    这种公司不是一般配手机?
    FS1P7dJz
        46
    FS1P7dJz  
       2021-08-02 11:03:27 +08:00
    两套手机咯

    我连工作手机的 apple id 都不是一个
    gps949
        47
    gps949  
       2021-08-02 12:15:28 +08:00
    其实根本不用考虑那么复杂。只问自己两个问题就行:
    1 、自己公司规模大不大,是几十几百人的小公司,还是成千上万人的大公司。
    2 、大多数同事是按公司要求连 wifi 、vpn 了,还是不连想别的办法进行工作。

    问这些的目的其实就一个,不管技术手段能不能监控操纵,总归还是需要投入人去做的,如果是上万人的公司且大多数同事都这么连这么用的,那他想全部实时监控投入的成本就过高而不会搞了(不过不排除要是有矛盾了会查库翻旧账)。
    如果是个几十几百人的巴掌大点的公司还这么搞,除非你们做的工作就是涉及国家秘密的,否则就别折腾了
    Lemeng
        48
    Lemeng  
       2021-08-02 12:21:08 +08:00
    要求公司提供手机,哪有自己手机弄这些的,实在不行,我会安在备用机上
    Hardrain
        49
    Hardrain  
       2021-08-02 15:48:47 +08:00
    安装了根证书后,任何拥有这个证书对应的私钥者都可以监听你的 TLS 通讯.
    除非客户端的应用有某些反制机制, 如 HPKP 或 App 自行实现的公钥固定.

    解决:要求公司提供工作专用手机
    mahone3297
        50
    mahone3297  
       2021-08-02 16:41:53 +08:00
    证书有这么大权限?这个从技术上是如何理解的?不是应该安装 app 风险更大?向大家请教。
    whasyt
        51
    whasyt  
       2021-08-02 20:38:14 +08:00
    @pupboss #25 求教这个怎么看?
    pupboss
        52
    pupboss  
       2021-08-02 21:09:19 +08:00
    @whasyt 在关于本机里面的证书
    Tumblr
        53
    Tumblr  
       2021-08-03 00:43:19 +08:00
    @pupboss #52 说错了吧?应该是在设置 -> 通用 -> 配置文件和设备管理里面,关于本机里只是信任。
    efaun
        54
    efaun  
       2021-08-03 03:57:46 +08:00
    @justrand #36 公司 wifi 都需要账号登录,换马甲没用
    shutongxinq
        55
    shutongxinq  
       2021-08-03 06:08:07 +08:00 via iPhone
    公司想在公司的手机上怎么折腾你就不要管了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5358 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 07:50 · PVG 15:50 · LAX 23:50 · JFK 02:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.