¿Es posible que mi empleador reemplace la CA raíz en mi teléfono?

4

He leído sobre los "ataques" corporativos de MITM en los que reemplazan la CA raíz en el hardware de la empresa para monitorear el tráfico a través de SSL que tiene lugar en su red, pero es posible que hagan lo mismo en mi teléfono personal ¿Si me conecto al wifi?

Pensaría que, dado que no tienen acceso de administrador al teléfono, no podrían descifrar el tráfico https, pero también creo que esto podría ser algo que el administrador de red estaría interesado en intentar ver.

    
pregunta penciltron 18.10.2015 - 06:17
fuente

2 respuestas

7

Primero, no se trata de reemplazar las CA sino de agregar otra CA, es decir, la CA proxy utilizada para interceptar las conexiones SSL. No podrán agregar la CA a su teléfono privado solo cuando se conecte al Wifi.

Pero, siempre y cuando no tenga el proxy CA instalado, las conexiones SSL simplemente no funcionarán para usted dentro de las redes de la compañía, porque los certificados ya no se pueden validar. No es que simplemente dejen de interceptar las conexiones SSL si el cliente no tiene instalada la CA proxy, sino que aún así interceptan y dejan los problemas resultantes al cliente.

Y, por lo general, es perfectamente legítimo que las empresas hagan la intercepción de SSL dentro de su propia red para proteger su infraestructura. SSL no hace que los sitios web sean mágicamente seguros, sino que solo protege el transporte. El malware aún puede ser entregado por sitios web que utilizan SSL, ya sea de forma deliberada o más común debido a que el sitio fue hackeado. Si no le gusta que su teléfono privado esté siendo monitoreado dentro de la red de las empresas, simplemente no se conecte a él. Esto probablemente también sería más seguro para la empresa, ya que este es un posible vector de ataque que no debe preocuparse.

    
respondido por el Steffen Ullrich 18.10.2015 - 06:44
fuente
5

Para agregar a la excelente respuesta de Steffan, simplemente conectando el teléfono al WiFi no se puede, por sí solo, agregar un certificado (CA o de otro tipo). Sin embargo, si habilita la administración de dispositivos móviles de su empleador ( MDM ) en su teléfono, lo que puede ser necesario para hacer cosas como acceder a la cuenta de correo electrónico de su empresa o conectarse a páginas web internas (intranet), entonces El software MDM puede instalar un certificado de CA raíz.

Los detalles de lo que MDM hace posible dependen del sistema operativo del teléfono y del software de MDM utilizado, pero todos los principales sistemas operativos móviles admiten al menos algunos MDM. Por otro lado, solo porque MDM está en uso no significa que se haya instalado un certificado de CA. El MDM también se usa para muchas otras cosas. Entre los más comunes se encuentra el uso de un PIN en el teléfono, que requiere que los datos del teléfono estén encriptados y le da a la empresa la capacidad de borrar de forma remota el teléfono si se lo roban (o si abandona la empresa mientras hay documentos confidenciales). en el teléfono, o similar).

Para saber qué MDM está usando su empleador (si lo tiene), le sugiero que visite el sitio web de TI / helpdesk y vea si puede encontrar una respuesta. Si no, trata de preguntarles al respecto. Como alternativa, simplemente no agregue nada de su empleador al teléfono (sin certificados, ni cuentas de correo electrónico de la empresa, ni aplicaciones de la compañía, etc.) y guárdelo como su dispositivo personal. Es posible que aún no puedas usar el WiFi interno para TLS (HTTPS, etc.) si requiere un certificado de CA, aunque ...

    
respondido por el CBHacking 18.10.2015 - 08:58
fuente

Lea otras preguntas en las etiquetas