工作原因必须连接公司 wifi,要求安装根证书

2021-08-01 12:09:16 +08:00
 moonfarmer

第一个,公司的一些工作比如 oa, 订餐,流程处理需要连接公司 wifi,当第一次接入时提示安装根证书。无法拒绝
第二个,公司为方便员工出差联网,为手机提供了 v pn,安装的 app 是企业应用,不在 appstore 下载,而是提供信任的描述文件。

手机为 iphone12 未越狱,想请教大牛:

1 第一个植入的根证书,是不是只有在连接公司 wifi 时才有可能解密手机流量?不联网使用 sim 卡 5g 就没有问题吧?根证书不能实时监控其他操作吧?比如手机截图?
2 v pn 只要不起用连接,也无法监控手机流量吧?

16701 次点击
所在节点    iPhone
55 条回复
galenzhao
2021-08-01 12:15:23 +08:00
理论上看是啥证书 mdm 的话,所有内容都能看
遇到这种 要求公司提供手机
AkideLiu
2021-08-01 12:27:20 +08:00
第一个我感觉是 802.1x WLAN,如果你们 WiFi 要输入用户名+密码并且信任证书那就是了。这种应该不涉及流量解密
https://support.apple.com/en-au/guide/mac-help/mchlp2388/mac
0o0o0o0
2021-08-01 12:33:31 +08:00
是,只有连公司网络的时候才会被监控
安卓的话手机分身应该可以解决
agagega
2021-08-01 12:39:47 +08:00
系统里会写这个描述文件有哪些权限。理论上这个描述文件的权限可以非常高。
xiangguacheng
2021-08-01 12:50:35 +08:00
什么公司这么垃圾
crab
2021-08-01 12:55:55 +08:00
@xiangguacheng 这是很正常操作吧?
villivateur
2021-08-01 13:00:12 +08:00
这种情况我觉得可以让公司提供一个专门用于工作的手机。私人手机不装公司相关数据
icyalala
2021-08-01 13:04:36 +08:00
@xiangguacheng 可能是阿里。。

你要看它的证书类型,如果只是个 Root CA,那走外网基本问题不大。
但如果是 MDM,基本相当于你手机被公司控制了,原则上公司办公不应该使用个人设备,应该让公司给你发手机。
至于企业应用,那个倒不用担心,没什么特殊权限的。
Tumblr
2021-08-01 13:08:35 +08:00
企业 wifi 一般是用 802.1x 验证的,并且多数是用设备证书和用户证书。想信任这些证书,前提是你的设备上已经信任了公司的根证书,所以什么解密手机流量啊什么监控操作啊,你想太多了。至于 vpn 的那个,一般的公司策略是企业流量走 vpn,其它流量不干预,不过这具体要看你们的配置了。

@xiangguacheng #5 这位兄台肯定没有在一些像微软、苹果、华为、腾讯这样的“垃圾”公司做过吧?
pupboss
2021-08-01 13:14:41 +08:00
MDM 证书的权限可以非常高,比如清除锁屏密码,抹掉内容,我也不装这个证书

至于 Root CA 其实问题不大,很多 app 都做了防 MITM 的措施,公司如果监听数据,app 会不响应,只要你没遇到过这个情况就可以证明公司没监听你的网络

企业应用这条得见仁见智,不上架 app store 的应用,是可以写一些比较脏的代码,调用私有 API 什么的,具体多脏那你得转岗去看看怎么研发的才行
pengtdyd
2021-08-01 13:32:44 +08:00
你都用得起 iphone12 了,再买个国产千元机使使不是什么问题吧
xenme
2021-08-01 14:12:00 +08:00
1. 没啥问题,可以不用公司无线就行
2. mdm 可以直接看证书给的授权,虽然可以完全控制,正规公司,一般人也是没权限查看涉及个人数据的。二般还是买个手机算了。
Tink
2021-08-01 14:20:53 +08:00
正常操作
1002xin
2021-08-01 14:34:35 +08:00
要求公司配发手机,不配发的自己搞个备用机吧
paradoxs
2021-08-01 14:39:00 +08:00
去海鲜市场买台 300 元的二手红米手机,随便整起
masterclock
2021-08-01 15:32:07 +08:00
这种模式,不是必须使用配发的手机,不允许使用其他手机的吗?
Howlaind
2021-08-01 16:52:51 +08:00
业务上的东西要装在私人手机上,对业务对个人都不够安全。
Mitt
2021-08-01 17:38:22 +08:00
@pupboss #10 事实上做 防 MITM 操作的 APP 仅在少数,你自己抓包就能看出来,至少我手机两百多个 APP 还没遇到几个防 MITM 的,大多都是自己包了一层加密

MDM 的话其实如果会看也行的,MDM 描述文件安装的时候会把权限全部列出来,如果没有强制性描述的话,比如只是信任 CA,安装 APP,那么 MDM 其实对你手机的监管只有强行移除你的设备,删除 MDM 安装的 APP 和数据,除此之外不会对你手机有额外的操作权限,但是如果有强制性的描述的话,那就有很高权限了
efaun
2021-08-01 17:54:35 +08:00
@galenzhao #1
@0o0o0o0 #3
@crab #6
@icyalala #8
@Tumblr #9
@pupboss #10

像 1.中的装证书监控流量这种操作,我全程梯子,还能监控到吗?
xuanbg
2021-08-01 18:13:11 +08:00
证书权限再怎么高,你用 4G/5G 流量的话他也没招。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/792969

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX