Apple MDM OTA - 在配置文件中嵌入SCEP与PKCS12的身份证书

时间:2016-06-21 13:28:45

标签: ios mdm ota

我正在辩论并且需要知道不使用SCEP协议进行mdm注册的含义,更确切地说是身份证书(用于身份验证的证书凭证)。我正在谈论IPCU身份部分的证书,如下图所示,红色箭头。

enter image description here

我不会使用敏感信息(如vpn,电子邮件等配置和/或密码)推送配置文件。

我的用例将是99%:

  • 按评分阻止/取消屏蔽应用
  • 锁定/解锁设备
  • 阻止/解锁网络域名

通过阅读StackOverflow(herehere),可能会发生以下情况。

  1. 如果有人可以访问证书,他将能够模拟已注册的设备,但他只能接收命令/配置文件而不能启动命令/配置文件。我对吗?
  2. 中间人攻击的人可以访问证书

    3. 使用嵌入在配置文件中的PKCS12的优点是它实现起来更快,没有外部依赖(SCEP服务器),但我不太确定它们的缺点。所以我的疑问和怀疑是:

    1. 恶意用户可以使用身份证书中的私钥做什么?

    2. 使用PKCS12嵌入式方法是否会导致安全漏洞?

      3. 这主要是SCEP与PKCS12嵌入在个人资料中的问题,优点和缺点。

1 个答案:

答案 0 :(得分:2)

我想到了这一点:

1)如果您正在构建原型或小型非关键服务,请使用PKCS12。

2)如果您正在构建一个严肃的产品(生产和触摸敏感信息的人的设备),那么请使用SCEP(您可以获得免费的SCEP服务器。它并不复杂)。

坦率地说,如果我处于黑暗面(试图破解它),我认为我不会攻击PKCS12与SCEP(这不是最薄弱的环节)

但是,让我说,我说我决定尝试破解它

  • 我会尝试在中间做人。我将尝试捕获通信,保存PKCS12和密码

  • 我将使用它来验证MDM服务器。

  • 你是对的,我无法触发任何命令,但我可以开始探测你的代码,找到你跳过某些安全检查的地方。也许您没有检查证书是否与设备UUID匹配等等。

  • 希望我能找到足够的安全漏洞来做某事(让其他用户说出触发操作)。也许我会发送Wipe命令,或者我可能会尝试安装根CA + HTTP代理配置来查看所有流量。

总之。我不认为这是最薄弱的环节,它需要很多额外的步骤来获得一些有趣的东西。但是,如果你到达那里,你可以做很多。

对于一个严肃的产品,在SCEP中再投入几周是有意义的。

相关问题
最新问题