写这篇博文的想法是在一次讨论中产生的,讨论的是思科的Talos威胁研究小组最近进行的一些研究。
后“先进的移动恶意软件运动在印度使用恶意MDM"撰写沃伦·默瑟,保罗Rascagneres和安德鲁·威廉姆斯和随访后含有更多的研究中发现的第2部分。
在这个美丽片的研究,这些人识别和分析具有恶意企图的攻击者,所用的改性的开源移动设备管理器(MDM)来控制多个移动设备;和安装的知名应用例如WhatsApp和电报修改版本,以获取否则将是私人数据。
“你打算说什么你[一个MDM]做[西]在这里吗?”
办公空间欢迎您的光临参考译文:
移动设备管理(MDM)有时也称为企业移动管理(EMM),它不仅仅是一种工具。它是一种从中心位置管理端点的技术,是安全端点策略的一个关键方面。
很久很久以前,微软创建了一种叫做组策略的东西,能够控制运行Windows的计算机的各个方面。您可以锁定与该端点相关的所有内容,从桌面显示的内容和开始菜单,到防止用户右键单击的功能。控制的水平是惊人的。
快进到这个移动设备,叫做黑莓。这款产品风靡全球,甚至出现了一个俚语“crackberry”,因为从这些移动设备上工作让人上瘾;拥有电子邮件,网络,文件等-所有在一个人的指尖。
Crackberrys是非常受欢迎的企业,因为他们提供的黑莓企业服务器(BES);这给了在黑莓终端企业全面和彻底的控制,就像组策略的Windows一样。事实上,黑莓OS是从地上爬起来,在精神控制的该级别建造的。
我们不会潜入为什么我觉得黑莓市场份额输给了苹果的iOS和谷歌的Android移动操作系统,虽然我大概可以写对整个博客的原因。问题的关键是,iOS和Android占绝大多数的移动手持设备市场(手机,平板电脑)和我们大多数人甚至看不到黑莓身边了。一个快速的互联网搜索给我看,研究人员才真正追踪Android和iOS如今。
MDM是当今技术行业试图将移动设备的完全控制带到Android和iOS的方式。换句话说,使用第三方产品/解决方案让企业组织尽可能多地控制其移动设备的安全状态。
想想吧。你怎么还能相信这些端点以安全的方式配置,你让最终用户访问私人/工作相关的数据之前?
MDM很重要,但它能做什么呢?
对这个问题的简短回答是:一个可怕的很多!
长的答案变得较为复杂。我将在这个博客潜入该多一点,另外,甚至比较和对比iOS和Android有点。
然而,之前我潜入再回答这个问题,让我们问另一个更紧迫的问题 - 尤其是当你把这个谈话到塔洛斯对恶意MDM发表的研究范围内。
什么能不能MDM吗?
MDM不会访问设备上的数据。它可以保护数据,可以执行加密或通过创建分离的“工作”的容器,一个企业可以擦拭,如果设备丢失或被盗。但它不提供企业与访问数据在端点本身。一个MDM可以安装被设计为访问数据和船舶它开了一个恶毒的位置,确保恶意应用程序。但是,Android和iOS提供的MDM功能,不直接提供访问图片,消息或其他存储在手机上的数据。
MDM可以而且确实提供对大量元数据的访问。例如,管理企业可以访问调用日志、网络日志、位置和围绕设备使用的数据。
让我们深入到更长的答案,好吗?
iOS和Android都非常流行的手机操作系统,两者都提供与多点触摸屏和其他一些惊人的人性化界面设计工作一个非常酷的交互式体验的终端用户。
然而,在幕后,他们是非常非常不同。这可以在每个操作系统的工作原理与移动设备制造商的方式来证明。
iOS设备管理框架
iOS版与API的框架构建,苹果将公开为他们选择。当iOS版首次发布,它被锁定到一个极端的程度,而苹果已经慢慢暴露越来越多的企业;在一个非常安全和可控的方式。早在iOS 5的版本,苹果发布了终点,被称为“监控模式”的新状态。这种操作模式是专为企业购买的和企业提供的设备,而不是自携设备(BYOD)。
我对这个问题的想法是,而iOS是专为消费者第一,企业均明显买许多人在公司使用。就拿咖啡馆,我写这篇博客的,这是使用销售点(POS)系统,它利用每个系统2代不同的iPad。一部iPad面向客户和用于显示顺序&甚至以客户签名;而第二ipad公司面临的收银员和用于输入的顺序等
在这种情况下,一个“登记”(POS系统)是不被使用的消费2个iOS设备 - 但都献给了公司。这也是在医疗保健,汽车经销商非常普遍,制造,你的名字业界和机会是存在由公司在公司内部使用所购买iOS或Android设备。
的MDM可以有超过在监督模式中比非监督模式在iOS端点更多的控制。有可能影响最终用户的隐私设置(如代理服务器,永远在线VPN,和思科安全连接器的‘清晰度’功能) - 和苹果保证,只有在监督模式的设备可以启用这些功能。
如果你曾经足够的好奇心,想看看到底是什么一个MDM“可能”在iOS设备上的配置,只要下载一个电脑上的苹果配置2个应用程序运行的MacOS和创建一个新的配置文件(称为配置文件)。配置文件的每个部分(我相信他们被称为有效载荷)是一个函数,苹果已经选择了暴露在设备管理器。有些人会只承担监督设备的影响,有些将工作在所有设备上。
将得到的配置简档(一“mobilconfig”文件)是能够由MDM由最终用户安装到iOS装置,或手动的基于XML的文件。iOS版有一个内置的配置功能也被称为空中下载(OTA),允许配置配置文件将发送到端点。OTA是思科ISE的BYOD开通是如何发生的,例如。该配置可以空投到端点;哎呀,我见过的结构通过电子邮件发送给最终用户。
您需要记住的是:安装这些概要文件需要最终用户的交互。必须有人与端点交互并单击“Yes”来安装这些配置文件。该函数内置了更多的安全性,因为所有MDM都必须在Apple Push Notification Service (APNS)中注册。Apple向MDM颁发一个证书,这个证书是由Apple自己的CA签署的,只有具有有效签署的APNS证书的MDMs才能使用这个框架并管理这个设备。
关于这个iOS的框架,一个有趣的事情是,移动设备制造商并不需要一个应用程序,以管理端点。一个应用程序可以提供额外的功能(例如,能够提供恒定的GPS跟踪到MDM),但应用程序是不是在所有必需的。这又是一个鲜明的对比Android的工作方式(但我们会在后面谈到的是,在Android的部分)。
我们可以只是你可以在iOS管理与设备配置文件写一本书。其中一个关键的事情,你应该明白的是,设备管理的目的是使最终用户和端点管理IT团队更轻松,更安全(在大多数情况下),例如两者的生活:
安装应用程序
因此,MDM能够在屏幕出现时将应用程序安装到设备上解锁(没错,当屏幕被锁定时,即使MDM也不允许对iOS设备做很多事情)。
Most of the time, the apps are installed from the official Apple app store, in which case the MDM is simply telling the endpoint to grab that app from the store, leveraging the end-users’ Apple ID and requiring the end-user to approve the download and installation in many cases. The MDM maintains an inventory of which apps and which versions are installed on managed devices as well.
除了应用程序的“正常”安装方式之外,苹果还有另一种机制,称为批量购买计划(VPP)。你看,每个可以安装到iOS上的公共应用都需要一个许可。该许可可能没有相关的成本,但它仍然是一个许可。按照在iOS上安装应用程序的“正常”方式,许可证与最终用户的苹果ID绑定在一起。然而,在VPP上,许可证归组织所有,并有一个集中的跟踪,记录该组织拥有多少个许可证,以及这些许可证被分配给了哪些设备。这允许组织在安装应用程序时有更多的控制,而不会打扰最终用户。
有安装到iOS应用程序的第三种方法是使用“企业应用程序”里的IPA(iPhone应用程序归档),这本身就是被上传到MDM应用程序分发到被管理的端点。该应用程序将仍然需要与苹果公司的软件开发人员签名,或iOS的终端将必须手动配置为信任签名证书的证书进行签名。
和…下面是我们的恶意参与者如何将消息应用程序的修改版本安装到受影响的端点。您可以看到,一旦攻击者的MDM控制了目标iOS端点,攻击者就能够下推用于为应用程序签名的证书,并在终端用户不知情的情况下强制iOS设备信任该证书。
请记住,这是一个MDM一个非常重要的功能。许多组织都有本土的应用为其员工使用,甚至奉献了iPad / iPod的触摸/ iPhone与这些自定义应用程序使用。这些自定义应用程序将不会在公共应用程序商店提供;而那些“企业应用”将由证书签名。
MDM推送WiFi配置文件和其他可信配置的能力也是如此。通过将WiFi配置文件推入任何端点,您可以使该端点信任一个流氓服务器和流氓SSID,从而加入一个恶意网络并将您的凭据发送给一个恶意参与者。
当苹果学习使用MDM恶意演员;他们撤销该恶意行为APNS证书 - 立即渲染无法使用特定的系统来管理更多的iOS设备。当苹果学会了一恶意应用程序,他们撤销该证书(如果发出),使这些应用无用和他们删除从App Store这些应用程序(如果他们的公共应用程序)。
那么,我们从所有这一切学习,因为它涉及到iOS?
简单。iOS确实是一个非常安全的操作系统。它有一个非常强大的设备管理框架,这是当今企业所需要的。如果您的组织使用iOS并允许这些设备连接到工作数据,甚至只是电子邮件,那么第一条经验就是:自己使用MDM。
这是正确的。将这些设备置于合法MDM的控制之下,这样您的组织就可以集中地看到这些设备、设备上安装了什么软件,并且:使用密码保护MDM配置文件,防止删除它们(第1课)。终端用户将不能“意外地”接受恶意参与者对端点的控制,因为iOS一次只允许一个设备管理器。
Android的DPC架构
Android的工作方式是不同的iOS在许多方面,却有着很多的相似之处了。之一的iOS和Android之间的主要区别是Android的需要的MDM,以控制该设备的应用程序的方式,而iOS用于内置框架移动配置。
与Android,与设备管理功能的应用程序被称为一个装置政策控制器(DPC),并且可以有安装在单个的Android端点的多个毛乳头细胞;而与iOS它像汉兰达:“只可以有一个人“ 装置经理。
而Android可以有很多毛乳头细胞,有一个非常特殊的作用,被称为“设备所有者”的角色,只有一个DPC可以在设备上。该设备拥有者获得了一些额外的项目,其他的DPC没有。所述网络日志是只能由设备拥有者DPC应用进行访问的Android内一个功能或能力的一个很好的例子。