Apple MDM OTA - 配置文件中嵌入了 SCEP 与 PKCS12 的身份证书
Apple MDM OTA - Identity Certificate with SCEP vs PKCS12 embedded within the profile
我正在争论并且需要知道不使用 SCEP 协议进行 mdm 注册的影响,更准确地说是身份证书(用于身份验证的证书凭据)。我说的是IPCU上Identity部分的证书,如下图红色箭头所示。
我不会推送包含敏感信息(如 vpn、电子邮件等配置 and/or 密码)的配置文件。
我的用例将是 99%:
- Block/unblock 个应用评分
- Lock/unlock 设备
- Block/unlock 网络域
通过阅读 Whosebug (here and here),可能会发生以下情况。
- 如果某人获得了证书的访问权限,他将能够冒充已注册的设备,但他将只能接收 commands/profiles 而不能启动 commands/profiles。我对吗?
- 中间人攻击可以获得证书
使用配置文件中嵌入的 PKCS12 的优点是实施速度更快,并且没有外部依赖项(SCEP 服务器),但我不太确定缺点。所以我的问题和疑惑是:
恶意人员可以用身份证书中的私钥做什么?
PKCS12 嵌入式方法是否存在安全漏洞?
这主要是配置文件中嵌入的 SCEP 与 PKCS12 的优缺点问题。
这是我的想法:
1) 如果您要构建原型或小型非关键服务,请使用 PKCS12。
2) 如果您正在构建一个严肃的产品(生产和触摸具有敏感信息的人的设备),那么请使用 SCEP(您可以获得免费的 SCEP 服务器。它并不那么复杂)。
坦率地说,如果我处于黑暗面(试图破解它)我不认为我会攻击 PKCS12 vs SCEP(它不是最弱的link)
但是,我说我决定尝试破解它
我会尝试做中间人。我将尝试捕获通信,为其保存 PKCS12 和密码
我将使用它对 MDM 服务器进行身份验证。
你是对的,我无法触发任何命令,但我可以开始探测你的代码,找出你跳过了一些安全检查的地方。也许您不检查证书是否与设备 UUID 等相匹配。
希望我能找到足够的安全漏洞来做一些事情(比如触发其他用户的动作)。也许我会向他们发送擦除命令,或者我会尝试安装根 CA + HTTP 代理配置以查看他们的所有流量。
总之。我不认为它是最弱的 link 并且它需要很多额外的步骤才能得到一些有趣的东西。但是,如果你到了那里,你可以做很多事情。
作为一个严肃的产品,在 SCEP 上多投入几周时间是有意义的。
我正在争论并且需要知道不使用 SCEP 协议进行 mdm 注册的影响,更准确地说是身份证书(用于身份验证的证书凭据)。我说的是IPCU上Identity部分的证书,如下图红色箭头所示。
我不会推送包含敏感信息(如 vpn、电子邮件等配置 and/or 密码)的配置文件。
我的用例将是 99%:
- Block/unblock 个应用评分
- Lock/unlock 设备
- Block/unlock 网络域
通过阅读 Whosebug (here and here),可能会发生以下情况。
- 如果某人获得了证书的访问权限,他将能够冒充已注册的设备,但他将只能接收 commands/profiles 而不能启动 commands/profiles。我对吗?
- 中间人攻击可以获得证书
使用配置文件中嵌入的 PKCS12 的优点是实施速度更快,并且没有外部依赖项(SCEP 服务器),但我不太确定缺点。所以我的问题和疑惑是:
恶意人员可以用身份证书中的私钥做什么?
PKCS12 嵌入式方法是否存在安全漏洞?
这主要是配置文件中嵌入的 SCEP 与 PKCS12 的优缺点问题。
这是我的想法:
1) 如果您要构建原型或小型非关键服务,请使用 PKCS12。
2) 如果您正在构建一个严肃的产品(生产和触摸具有敏感信息的人的设备),那么请使用 SCEP(您可以获得免费的 SCEP 服务器。它并不那么复杂)。
坦率地说,如果我处于黑暗面(试图破解它)我不认为我会攻击 PKCS12 vs SCEP(它不是最弱的link)
但是,我说我决定尝试破解它
我会尝试做中间人。我将尝试捕获通信,为其保存 PKCS12 和密码
我将使用它对 MDM 服务器进行身份验证。
你是对的,我无法触发任何命令,但我可以开始探测你的代码,找出你跳过了一些安全检查的地方。也许您不检查证书是否与设备 UUID 等相匹配。
希望我能找到足够的安全漏洞来做一些事情(比如触发其他用户的动作)。也许我会向他们发送擦除命令,或者我会尝试安装根 CA + HTTP 代理配置以查看他们的所有流量。
总之。我不认为它是最弱的 link 并且它需要很多额外的步骤才能得到一些有趣的东西。但是,如果你到了那里,你可以做很多事情。
作为一个严肃的产品,在 SCEP 上多投入几周时间是有意义的。