보안 솔루션이 보안을 해칠 때 MDM이 끔찍하다

Blackberry의 chagrin에 비해 대부분의 사람들은 자신이 골라 낸 재미있는 스마트 폰과 함께 복잡한 업무용 전화를 들고 다니는 데 관심이 없습니다. 이것이 대기업들이 모바일 장치 관리 (MDM)에 많은 투자를 한 이유입니다. 그러나 이러한 보안 도구는 얼마나 안전합니까? 최근 Black Hat 데모에는 놀라운 답변이있었습니다.

대기업에 있지 않은 사람들을 위해 MDM을 통해 기업 IT 책임자는 직원의 개인 전화에 대해 어느 정도 통제 할 수 있습니다. 예를 들어 MDM은 기밀 데이터를위한 공간을 격리하고 특별한 회사 앱을 설치할 수 있습니다. 중요한 보안 도구이지만 NTT Com Security의 Stephen Breen과 Chris Camejo는 이것이 실제로 얼마나 안전한지에 대해 매우 어려운 질문을해야한다고 생각합니다.

위험에 처한 것

발표자들은 현재 MDM을 사용하는 1 억 8 천만 개의 자체 기기가 있으며 2015 년에는이 수치가 390 백만으로 증가 할 것으로 예상했다. Camejo는 80 % 이상의 기업이 MDM 솔루션을 직원. 그들 대부분은 회사 이메일에 액세스합니다.

그들의 침투 테스트를 통해이 쌍은 무수한 취약점을 발견했습니다. 인증 무시, 암호화없이 로그인 토큰 전송 (일부 경우 만료되지 않도록 토큰 구성), 더 복잡한 공격을위한 단계 설정 등 매우 기본적이었습니다.

팀은 거의 노력을 기울이지 않으면 서 공격자가 개인 정보를 얻거나 심지어 MDM 서버를 사용하여 무고한 전화를 닦을 수 있다고 결론을 내 렸습니다. 그들이 발견 한 최악의 공격은 공격자의 장치에서 합법적 인 전화의 ID를 모방 한 것일 수 있습니다. 공격자의 전화는 이제 전자 메일, 공유 드라이브, 문서 등 합법적 인 모든 것에 액세스 할 수 있습니다.

문제를 복잡하게 만드는 것은 많은 다른 공급 업체가 모두 동일하거나 유사한 실수를 범했다는 것입니다. 따라서, 탐침은 다른 제공자에 걸쳐 고유하다. 흥미롭게도 Apple은 MDM 개발자가 따라야 할 엄격한 요구 사항을 제시하기 때문에 iOS에 중점을 두었습니다. 브린에 따르면 애플의 접근 방식은 건전하다고 보인다.

안전하지 않은 보안

발표자들은 청중을위한 놀라운 조언으로 대화를 마쳤습니다. 가장 중요한 것은 회사가 네트워크에 배포하는 것에 대해 매우 신중하게 생각해야한다는 것입니다. 아마도 그들은 MDM을 함께 버려서 제안했습니다.

카메 조는 "모든 것이 공격면을 증가시킨다"고 말했다. 무자비하게 들릴지 모르지만 한 직원의 전화기를 도난당한 경우 도둑은 해당 직원의 정보에만 액세스 할 수 있습니다. 그러나 MDM은 훨씬 더 많은 피해를줍니다. "무거운 MDM 서버는 MDM이없는 모바일 장치보다 더 나쁩니다."

그는 또한 MDM 회사를 모호함을 통한 보안으로 설명했습니다. 그들이 발견 한 문제는 발견하기 어렵지 않았다고 Camejo는 말했다. 이는 사람들이 단순히 MDM 소프트웨어를 얻는 데 드는 높은 비용 때문에 취약점을 찾고 있지 않다는 것을 의미합니다.

물론 MDM이 악에 사용 된 것을 본 것은 이번이 처음이 아닙니다. 얼마 전 Skycure는 소위 악성 프로파일 공격을 사용하여 iPhone을 제어했습니다. 이것은 해결하려는 문제보다 더 나쁜 해결책입니다.