Video: Реклама подобрана на основе следующей информации: (September 2024)
Mycket till Blackberry: s besvär är de flesta inte intresserade av att bära en stodgy arbetstelefon tillsammans med den roliga smarta telefonen de valde själva. Det är därför stora företag har investerat kraftigt i hantering av mobilenheter (MDM). Men hur säkra är dessa säkerhetsverktyg? En ny demonstration av Black Hat hade överraskande svar.
För dem som inte är i stora företag låter MDM företagens IT-chefer ha viss nivå av kontroll över anställdas personliga telefoner - med deras samtycke, naturligtvis. MDM kan till exempel sequester-utrymme för konfidentiell data och installera speciella företagsappar. Det är ett kritiskt säkerhetsverktyg, men Stephen Breen och Chris Camejo från NTT Com Security tycker att vi borde ställa några mycket svåra frågor om hur säkert det verkligen är.
Vad är risken
Presentatörerna sade att det finns 180 miljoner ta med egna enheter som använder MDM just nu, och den siffran förväntas växa till 390 miljoner år 2015. Camejo sade att upp till 80 procent av företagen planerar att rulla ut en MDM-lösning till deras anställda. De flesta av dem får åtkomst till företagets e-post.
Genom deras penetrationstest upptäckte paret en mängd sårbarheter. De flesta av dem var väldigt grundläggande, som att ignorera autentisering, skicka inloggningstoken utan kryptering (och i vissa fall konfigurera dessa tokens för att aldrig löpa ut), och till och med ställa in scenen för mer komplexa attacker.
Med liten ansträngning, konstaterade teamet, kan en angripare få personlig information eller till och med använda MDM-servern för att torka oskyldiga telefoner. Troligtvis den värsta möjliga attacken de upptäckte var att efterlikna en legitim telefons identitet på en angripares enhet. Angriparens telefon kunde nu komma åt allt det legitima kan: e-post, delade enheter, dokument etc.
Sammanfattning av problemet är att många olika leverantörer alla har gjort samma eller liknande misstag. Således är probelmerna endemiska för olika leverantörer. Intressant nog fokuserade huvuddelen av presentationen på iOS eftersom Apple ställer stränga krav för MDM-utvecklare att följa. Enligt Breen verkar Apples inställning ljud.
Osäker säkerhet
Presentatörerna avslutade sitt tal med några överraskande råd för publiken. Framför allt var att företag borde tänka mycket, mycket noggrant över vad de distribuerar i sitt nätverk. Kanske, föreslog de, genom att gå igenom MDM tillsammans.
"Allt ökar attackytan, " sa Camejo. Det låter kanske hjärtlöst, men om en företrädares telefon stuls, har tjuvarna bara tillgång till den anställdes information. Men MDM möjliggör mycket mer skada. "En vlnerable MDM-server är mer dålig än en mobil enhet utan MDM."
Han tog också MDM-företag till uppgift för, vad han beskrev, som säkerhet genom oklarhet. De problem de fann, sade Camejo, var inte svåra att upptäcka. Det innebär att människor helt enkelt inte letar efter sårbarheter, förmodligen på grund av de höga kostnaderna för att få MDM-programvara.
Naturligtvis är det inte första gången vi har sett MDM användas för det onda. Det var inte länge sedan att Skycure använde en så kallad skadlig profilattack för att ta kontroll över min iPhone. Detta är en lösning som kan vara värre än problemet den syftar till att lösa.
