Apple MDM OTA – 在配置文件中嵌入SCEP与PKCS12的身份证书
我正在辩论并且需要知道不使用SCEP协议进行mdm注册的含义,更确切地说是身份证书(用于身份validation的证书凭证)。 我在谈论IPCU身份部分的证书,如下图所示,带有红色箭头。
我不会用敏感信息(如vpn,电子邮件等配置和/或密码)推送配置文件。
我的用例将是99%:
- 按评分阻止/取消屏蔽应用
- 锁定/解锁设备
- 阻止/解锁网络域名
通过阅读StackOverflow( 此处和此处 ),可能会发生以下情况。
- 如果有人可以访问证书,他将能够模拟已注册的设备,但他只能接收命令/配置文件而不能启动命令/配置文件。 我对吗?
- 中间人攻击中的人可以访问证书
使用嵌入在配置文件中的PKCS12的优点是它实现起来更快,没有外部依赖(SCEP服务器),但我不太确定它们的缺点。 所以我的疑问和怀疑是:
-
恶意用户可以使用身份证书中的私钥做什么?
-
使用PKCS12嵌入式方法是否会导致安全漏洞?
这主要是一个问题,即SCEP与PKCS12嵌入在配置文件中的优缺点。
在这里我的想法:
1)如果您正在构建原型或小型非关键服务,请使用PKCS12。
2)如果您正在构建一个严肃的产品(生产和触摸敏感信息的人的设备),那么请使用SCEP(您可以获得免费的SCEP服务器。它并不复杂)。
坦率地说,如果我处于黑暗面(试图破解它)我不认为我会攻击PKCS12 vs SCEP(它不是最薄弱的环节)
但是,比方说,我说我决定试图破解它
-
我会尝试在中间做人。 我将尝试捕获通信,保存PKCS12和密码
-
我将使用它来validationMDM服务器。
-
你是对的,我不能触发任何命令,但我可以开始探测你的代码,找到你跳过某些安全检查的地方。 也许您没有检查证书是否与设备UUID匹配等等。
-
希望我能找到足够的安全漏洞来做某事(让其他用户说出触发操作)。 也许我会发送Wipe命令,或者我可能会尝试安装根CA + HTTP代理配置来查看所有流量。
无论如何。 我不认为这是最薄弱的环节,它需要很多额外的步骤来获得一些有趣的东西。 但是,如果你到达那里,你可以做很多。
对于一个严肃的产品,在SCEP中再投入几周是有意义的。