Video: Реклама подобрана на основе следующей информации: (Oktober 2024)
Meget til Blackberrys ubehag, er de fleste mennesker ikke interesseret i at bære en stodgy arbejdstelefon sammen med den sjove smarte telefon, de selv valgte. Derfor har store virksomheder investeret meget i styring af mobilenheder (MDM). Men hvor sikre er disse sikkerhedsværktøjer? En nylig demonstration af Black Hat havde overraskende svar.
For dem, der ikke er i store virksomheder, lader MDM forretnings IT-direktører have et vist niveau af kontrol over medarbejdernes personlige telefoner - med deres samtykke, selvfølgelig. MDM kan for eksempel sequester-plads til fortrolige data og installere specielle forretningsapps. Det er et kritisk sikkerhedsværktøj, men Stephen Breen og Chris Camejo fra NTT Com Security synes, vi burde stille nogle meget hårde spørgsmål om, hvor sikkert det virkelig er.
Hvad der er i fare
Præsentanterne sagde, at der er 180 millioner bringe-dine-egne enheder, der bruger MDM lige nu, og det tal forventes at vokse til 390 millon i 2015. Camejo sagde, at op mod 80 procent af virksomhederne planlægger at rulle ud en MDM-løsning til deres medarbejdere. De fleste af dem får adgang til virksomhedens e-mail.
Gennem deres penetrationstest opdagede parret et utal af sårbarheder. De fleste af dem var meget grundlæggende, såsom at ignorere godkendelse, sende login-tokens uden kryptering (og i nogle tilfælde konfigurere disse tokens til aldrig at udløbe), og endda sætte scenen for mere komplekse angreb.
Med lidt indsats, konkluderede teamet, kunne en angriberen indhente personlige oplysninger eller endda bruge MDM-serveren til at udslette uskyldige telefoner. Det sandsynligvis det værste mulige angreb, de opdagede, var at efterligne en legitim telefons identitet på en angriberenes enhed. Angriberens telefon kunne nu få adgang til alt det legitime man kan: e-mail, delte drev, dokumenter osv.
Sammenblandingen af problemet er, at mange forskellige leverandører alle har gjort de samme eller lignende fejl. Således er probelmerne endemiske på tværs af forskellige udbydere. Interessant nok fokuserede hovedparten af præsentationen på iOS, fordi Apple stiller strenge krav til MDM-udviklere til at følge. I følge Breen ser Apples tilgang til lyd.
Usikker sikkerhed
Præsentanterne afsluttede deres tale med nogle overraskende råd til publikum. Fremst var, at virksomheder skulle tænke meget, meget nøje over, hvad de implementerer på deres netværk. Måske foreslog de ved at forlade MDM alle sammen.
"Alt øger angrebets overflade, " sagde Camejo. Det lyder måske hjerteløst, men hvis en empolyeeers telefon er stjålet, har tyvene kun adgang til denne medarbejders oplysninger. Men MDM giver mulighed for meget mere skade. "En vlnerable MDM-server er mere dårlig end en mobilenhed uden MDM."
Han tog også MDM-virksomheder til opgave for, hvad han beskrev, som sikkerhed gennem uklarhed. De problemer, de fandt, sagde Camejo, var ikke svære at opdage. Det indebærer, at folk simpelthen ikke er på udkig efter sårbarheder, sandsynligvis på grund af de høje omkostninger, der er forbundet med at få MDM-software.
Naturligvis er dette ikke første gang, vi har set MDM brugt til det onde. Det var ikke længe siden, at Skycure brugte et såkaldt ondsindet profilangreb til at tage kontrol over min iPhone. Dette er en løsning, der måske er værre end det problem, det sigter mod at løse.
