工作原因必须连接公司 wifi，要求安装根证书

2021-08-01 12:09:16 +08:00

moonfarmer

第一个，公司的一些工作比如 oa, 订餐，流程处理需要连接公司 wifi，当第一次接入时提示安装根证书。无法拒绝
第二个，公司为方便员工出差联网，为手机提供了 v pn,安装的 app 是企业应用，不在 appstore 下载，而是提供信任的描述文件。

手机为 iphone12 未越狱，想请教大牛：

1 第一个植入的根证书，是不是只有在连接公司 wifi 时才有可能解密手机流量？不联网使用 sim 卡 5g 就没有问题吧？根证书不能实时监控其他操作吧？比如手机截图？
2 v pn 只要不起用连接，也无法监控手机流量吧？

17027 次点击

所在节点

iPhone

55 条回复

ryh

2021-08-01 19:03:39 +08:00

@xuanbg MDM 又不是监控流量，而是相对于安装后，这个手机是公司财产，MDM 的管理员有完全的管理手机的权利

针对 Apple 设备的完整 MDM 有效负载列表
https://support.apple.com/zh-cn/guide/mdm/mdm5370d089/1/web/1.0

pupboss

2021-08-01 19:04:57 +08:00

@efaun 好像很多人都误会了，装一个 CA 证书本身没啥卵用的，他得配合 DNS 污染和中间人攻击才行，说人话就是，除非你在公司连着 wifi，或者出了公司用公司指定的 DNS(几乎没人用吧)，否则这个证书没任何用

efaun

2021-08-01 19:10:17 +08:00

@pupboss #22 我们公司就是必须用公司的 wifi+公司的 dns 才能上网😱这是不是就可以监控了

pupboss

2021-08-01 19:11:51 +08:00

@efaun 公司 wifi+公司 DNS+公司的 CA，从技术上可以监听 HTTPS 流量，公司 wifi+公司 DNS，几乎 100%被监听 HTTP 非加密流量，反正就是最好避免用公司的网络干私事

pupboss

2021-08-01 19:12:31 +08:00

我来发两截图吧，看看 MDM 证书都有哪些权限

https://i.loli.net/2021/08/01/TdbAcMtFf3r6XJe.png
https://i.loli.net/2021/08/01/d3fJqGp7NKzM2hD.png

efaun

2021-08-01 19:14:47 +08:00

@pupboss #24 感谢，那我用梯子可以绕过流量监控吗

he110comex

2021-08-01 19:24:20 +08:00

买个千元备用安卓机，求个安心。

2021-08-01 20:19:50 +08:00

@efaun wss 是可以的吧， $$不懂不清楚

2021-08-01 20:21:50 +08:00

@efaun 表达错了，公司 dns + ca: wss 是可以被监控的…

efaun

2021-08-01 20:41:21 +08:00

@ik #29 看来在公司摸鱼还是老老实实用手机流量吧🙃

yolee599

2021-08-01 20:52:58 +08:00

可以要求公司配发工作专用手机

moln

2021-08-01 20:55:33 +08:00

@efaun 看你的梯子怎么配置，如果 ws+vless+tls 可以中间人攻击 sni，vless 没加密就能监控到，如果 vmess 因为多一层加密就监控不到

hullopanda

2021-08-01 22:19:24 +08:00

@Howlaind MDM 方案不就是为了干这个活的吗，介于公司业务在个人手机上的问题，BYOD 。
前提是到底有没有监控数据，如果有监控需要告知，使用个别的手机得了。
802.1x 现在要做证书的，那是对设备准入要求比较严格的公司了，连 mac bypass 都不行，觉得你们可以伪造 MAC 地址。
鉴于上面的描述，感觉准入应该都用了多因子，不单纯是某一种方式了。

IvanLi127

2021-08-01 23:44:30 +08:00

@crab #6 正常操作不是提供已经由 IT 配置好的终端设备嘛

ihwbunny

2021-08-02 03:21:39 +08:00

1. 一个证书怎么会有监控的功能？只能是认证和加密通讯。
2. vpn 如果是 app 到是不好说，如果只是只是通过描述文件来设置 iOS 的 VPN 配置，那又是另外一回事。

justrand

2021-08-02 07:49:01 +08:00

题外话，如果是像小米那种手机分身是不是可以完美避开这个坑。公司 wifi 就新开一个分身系统？

0gys

2021-08-02 08:13:22 +08:00

理论上是可以，但小公司一般不会。如果被监听了你可以试一试打开 apple 商店,监听了就打不开商店

0gys

2021-08-02 08:15:08 +08:00

因为如果是自签证书的话，apple 有防患措施。

dingyx99

2021-08-02 08:16:39 +08:00

建议还是准备另一个手机拿来处理公司的内容吧

westjt

2021-08-02 08:18:33 +08:00

第一个连 wifi 情况, 也有可能是要你信任公司的认证服务器的证书, 认证服务器证书就是自签发的.
第二个情况: 一些 openVPN 客户端软件国内国内 appstroe 上是下架了的, 所以没法上面下. 这个其实是正常的.
光看你描述不能确定. 第一个你可以把截图发出来, 第二你可以直接把 app 名字发出来, 进一步看看.

第 2 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/792969

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.