¿Hay valor en la prueba de lápiz de las aplicaciones de iOS que funcionarán en un entorno MDM?

Navega tus respuestas
3

Soy un desarrollador de iOS que busca obtener más en la prueba de la pluma de iOS. Para ello deseo justificar el valor de negocio para esto. Creo aplicaciones de iOS internamente para mi empresa, que solo pueden ser descargadas por los empleados que utilizan nuestra aplicación de gestión de dispositivos móviles, lo que garantiza que los teléfonos no estén en la cárcel.

¿Hay valor en las aplicaciones de prueba de lápiz que se supone que se encuentran en un entorno sin jailbreak y son aplicaciones MDM a prueba de balas cuando se evita que las aplicaciones empresariales que pueden descargarse a través de ellas se usen en un teléfono roto en la cárcel?

    
pregunta Deco 13.10.2016 - 18:28
fuente

3 respuestas

3

Se trata de reducir los riesgos. MDM y pruebas cubren diferentes tipos de riesgo. Debe averiguar qué riesgos se cubrirán con las pruebas que MDM no puede abordar. Piensa: defensa en profundidad.

Por ejemplo, ¿hay fuga de información? ¿Están expuestas las credenciales de los usuarios? ¿Se puede acceder a los datos desde la aplicación al almacenamiento para que el usuario pueda descargarlos? MDM puede abordar algunos de estos problemas (dependiendo de cómo esté configurado), pero ¿qué sucede cuando falla MDM? O si alguien configura el MDM de manera diferente para sí mismo o para un exec (gosh, lo he visto demasiadas veces).

    
respondido por el schroeder 13.10.2016 - 18:39
fuente
1

Un MDM hace que un dispositivo móvil sea menos seguro. Expone una mayor superficie de ataque, notable a través del certificado MDM que permite instalar y ejecutar un vector adicional de código firmado no OEM.

En particular, para los dispositivos iOS, las interfaces de red GSM y WiFi no están disponibles para restablecer la contraseña a través de un MDM si un dispositivo se inicia desde un estado apagado. Sin embargo, esto no es cierto si se puede configure el dispositivo con una interfaz Ethernet física (por ejemplo, , sobre Lightning-to USB y luego USB-to Ethernet).

En BlackHat US 2016, hubo una presentación de Vincent Tan llamada Bad For Enterprise: Attacking BYOD Enterprise Mobile Security Solutions - video aquí - enlace

En RSACon 2014, Michael Shaulov dio una presentación sobre Ataques prácticos contra soluciones MDM - aquí se encuentra la diapositiva - enlace

BitGlass también lanzó un video en MDMayhem: Cómo MDM Software expone los datos personales - enlace

    
respondido por el atdre 10.11.2016 - 08:17
fuente
1

He realizado muchas pruebas de lápiz de aplicaciones móviles, bajo MDM, y he identificado muchos riesgos de seguridad que estas aplicaciones exponen. El principal riesgo expuesto es el almacenamiento de datos confidenciales en el claro en el descanso. Ok, si el dispositivo se pierde o es robado, se requiere un pin para el acceso (por ejemplo, 1111), pero un truco, cuando se tiene el pin, se puede usar a través de una copia de seguridad de la aplicación y los datos del dispositivo MDM y luego restaurar. esto en un dispositivo raíz

    
respondido por el Justme 10.11.2016 - 04:30
fuente

Lea otras preguntas en las etiquetas

¿Por qué señal de advertencia al visitar el sitio web https? [duplicar] Análisis de costo-beneficio de ASLR