这一点非常重要,尤其是在分析Talos博客文章并发现恶意参与者使用修改过的开源MDM server来管理iOS和Android端点时。如果端点上以设备所有者角色的形式安装了一个MDM DPC应用程序,那么恶意操作者将无法接管设备上的设备所有者角色。这不会阻止该演员安装Signal或WhatsApp的修改版本;但是它会阻止参与者访问网络日志和跟踪所有终端用户的活动。
设备所有者DPC也能够控制哪些应用程序能与不能安装到Android设备,包括提供应用程序白名单的能力,就像iOS的做(但只有监督的iOS设备)。除了应用程序白名单和黑列表,设备所有者DPC能够创建Android @工作的容器。
在很多方面,它更像是一个分区而不是一个容器,但它是Android解决方案与iOS有很大区别的另一部分。当创建DPC的容器时,所有内容都保持独立。用于工作的所有数据和元数据都保存在该容器中。如果DPC被删除,那么容器和其中的所有数据也将被删除。
不仅数据保持独立,而且MDM安装的应用程序也安装到该容器中。因此,同一个应用程序将会有两个完全不同的副本。一个在容器中,另一个在主Android分区中。一切都是完全分开的。然而,如果演员让终端用户使用恶意修改的应用程序版本,他们就可以从这些应用程序中得到他们想要的任何东西,这些应用程序包装好并直接送到他们的前门。
就这样结束了
我认为如果你读到这里,你应该得到某种奖励。这是一篇很长的博客文章,至少在我写的时候感觉是这样的。
我想留给你们一些非常重要的结论。
对于iOS:如果端点访问需要保持保护的信息,请确保组织使用MDM保护这些iOS端点;以及密码保护的配置文件。如果设备是公司所有-确保它是在监督模式,以额外的安全和保护。
对于Android系统:确保在设备所有者模式下使用MDM保护设备;并且使用了Android@work配置文件。如果你是真正的安全意识,使用应用白名单,以防止安装不受信任的应用。
永远不要安装任何来自未知来源的东西,最重要的是:当看到来自不可信来源的应用程序或安装iOS配置文件的警告时,永远不要点击接受!
他们喜欢说电子邮件是不可以的。1攻击向量(除非你是克雷格·威廉姆斯);但事实上,不。人是脆弱的,设备不是。
这是它为这个职位。我很快就能再次回来别的事情孔您。