Man-in-the-middle (mitm)-in-hotel-wlan´s und rote zertifikatswarnung auf iPhone

[Dirk-HH-83 14]

Hallo, 

 

stimmt dieses Statement?

 

Kann ein Mithörer/Lauscher/Angreifer irgendwas brauchbares sehen

wenn er sich im selben WLAN wie ein aktuelles iPhone befindet? 
(und die Apple Mail mit einem 443 Active-Sync Konto verwendet wird?)

Antwort:  für den Angreifer wäre das nur dann/höchstens möglich,

wenn der Angreifer dem iPhone Enduser eine *.pem,*.cer,*.crt  zum manuell am iPhone installieren gegeben hätte.  (und ihm gezeigt hätte wie das funktioniert, denn es müsste ja unter ios >zertifikatsvertrauenseinstellungen erst nach PIN Abfrage aktiviert werden)

 

 

 

 

[MurdocX 949]

Hallo Dirk,

 

 

vor 33 Minuten schrieb Dirk-HH-83:

Kann ein Mithörer/Lauscher/Angreifer irgendwas brauchbares sehen

wenn er sich im selben WLAN wie ein aktuelles iPhone befindet? 

Verschlüsselt nein: Ja, er kann.

Verschlüsselt ja: Nein, er kann nicht.

 

vor 36 Minuten schrieb Dirk-HH-83:

wenn der Angreifer dem iPhone Enduser eine *.pem,*.cer,*.crt  zum manuell am iPhone installieren gegeben hätte. 

Damit würde die geheime Verschlüsselung aufgebrochen und mit einem bekanntem Schlüssel verschlüsselt. Das zählt dann zu "nicht verschlüsselt" im Sinne des Angreifers. Diese Lösung wird idr. bei Proxies im Unternehmensnetzwerk verwendet, um schadhafte Kommunikation aufzudecken.

 

Da heute so gut wie jede Webseite TLS macht, ist die Gefahr hier nicht so groß.

[cj_berlin 1.313]

Definiere "Brauchbares". Die Kommunikation kann er nicht mitlesen, das Szenario mit der PEM-Datei ist extrem konstruiert EDIT zumal dafür der Angreifer auch das DNS im WLAN beeinflussen müsste /EDIT.

Ist das WLAN jedoch nicht verschlüsselt, so könnte der Mithörer zumindest sehen,

• wohin sich der Mail-Client verbindet
• gegen welche VA das dort vorgelegte Server-Zertifikat validiert wird
• ob dabei MFA verwendet wird
• ob das Gerät gemanagt ist und wo die Management-Infrastruktur steht
• welches Portal zum Anschauen von Pornos verwendet wird

bearbeitet 15. Juni 2023 von cj_berlin

[testperson 1.675]

Hi,

 

die Frage wäre für mich, ob der Angreifer im selben WLAN ist oder ob der Angreifer "das selbe WLAN (selber) ist" und (vereinfacht) als Accesspoint zu jeder Clientanfrage "Ja" sagt. Dann könnte er auch als MitM einen Proxy nutzen, der SSL aufbricht bzw. den Traffic aufzeichnen.

 

Gruß

Jan

[NorbertFe 2.034]

Einigen wir uns auf "kommt darauf an" ;)

[daabm 1.354]

vor 3 Stunden schrieb testperson:

Dann könnte er auch als MitM einen Proxy nutzen, der SSL aufbricht bzw. den Traffic aufzeichnen.

Da wären wir dann wieder bei dem Zertifikatsproblem mit dem Truststore. Der Angreifer muß ein Zertifikat präsentieren, das den "eigentlichen" Namen enthält.

[cj_berlin 1.313]

So ist es.

[testperson 1.675]

vor 34 Minuten schrieb daabm:

Da wären wir dann wieder bei dem Zertifikatsproblem mit dem Truststore. Der Angreifer muß ein Zertifikat präsentieren, das den "eigentlichen" Namen enthält.

Ja, das ist klar. Aber wie viele schalten denn bei dem "Hinweis" das Hirn ein und lesen überhaupt was das Device (iPhone) da von einem will und wie viele klicken einfach auf "Fortfahren"? Gerade beim Active Sync Konto. Bei Websites gibt es sicherlich auch genug die es an der Stelle gewohnt sind auf "Ja und Amen" zu klicken.

[NorbertFe 2.034]

Wobei es das iPhone einem echt nicht leicht macht, solche Infos auch ggf. Nachträglich mal abzufragen.

 

ps: das iPhone mag auch den Dativ nicht. ;)

bearbeitet 15. Juni 2023 von NorbertFe