Computerbeveiliging - Hoe je bad guys buiten de deur houdt

iOS Exchange Remote Wipe-functionaliteit

21-01-2015, 11:02 door Anoniem, 10 reacties
Via mijn opleiding heb ik een mailadres gekregen wat draait op een Microsoft Exchange 2013 Server. Ik kan dit account instellen op mijn iPhone zodat ik mobiel mijn email en agenda kan benaderen.

Het enige wat mij hiervan weerhoud is dat zodra ik dit heb ingesteld, de beheerder vanaf afstand mijn iPhone kan wissen middels de Remote Wipe-functionaliteit. Het gaat dan niet enkel om het mailaccount, maar heel de iPhone word gewist.

Heeft iemand toevallig ervaring met het disablen van deze functionaliteit op de iPhone? Vanuit een Beveiligings-perspectief lijkt het me namelijk niet zo fijn om een onbekende toegang te functionaliteit waarmee complete telefoons gewist kunnen worden.
Reacties (10)
21-01-2015, 13:20 door Orion84
Nee, dat kan je niet uitzetten. Exchange pusht een profiel naar je iPhone en zonder dat profiel te installeren werkt je mail account niet.

Je zult dus in discussie moeten met je opleiding waarom ze dit onderdeel hebben gemaakt van het profiel. En om te beginnen in elk geval eens navragen hoe die functionaliteit procesmatig is ingericht (als in: wie kan er bij, wanneer wordt het gebruikt etc.).

Bedenk ook even de andere kant van het verhaal: organisaties zijn wat huiverig om mail (waar mogelijk allerlei belangrijke/gevoelige informatie in rondgaat) te synchroniseren met een mobiel apparaat waar ze geen controle over hebben.

Het is vooral jammer dat de mogelijkheden om meer selectief te wipen nog wat beperkt zijn (en hier in elk geval niet benut worden omdat Exchange dat geloof ik niet ondersteunt).
21-01-2015, 13:24 door Anoniem
@Orion84: Nee dit is een beperking van iOS - het niet ondersteunen van een partial wipe / email-profile only; niet Exchange. Zijn allerlei work-arounds voor mogelijk middels sandboxing, Mobile Iron, etc. die de organisatie zou kunnen overwegen.

Als eindgebruiker zou je kunnen overwegen je apparaat te jailbreaken en dan de Remote Wipe killswitch te disablen, maar bedenk wel dat jailbreaken ook weer andere risico's met zich meebrengt ...
21-01-2015, 14:01 door Erik van Straten
Uit http://9to5mac.com/2014/01/22/using-your-own-iphone-at-work-watch-that-it-doesnt-get-wiped-when-you-leave/:
Door Ben Lovejoy, January 22, 2014: Using your own iPhone at work? Watch that it doesn’t get wiped when you leave…
[...]
Update: Several readers have pointed out that the remote wipe would be performed via the company’s Exchange servers, so removing the Exchange account the day before you leave would be a good precaution.

Ik ben ook benieuw naar hoe de beheerder controleert dat jij jij bent als "jij" meldt dat "je jouw" telefoon verloren bent c.q. dat deze gestolen is (met als gevolg dat de beheerder een remote wipe uitvoert). Kun je daar wat over schijven?
21-01-2015, 14:48 door Anoniem
Ik ben nog niet in de positie geweest om te overleggen met de opleiding/systeembeheer, maar kreeg de tip om de iPhone-app 'OWA for iPhone' te installeren. (zal ongetwijfeld ook voor andere besturingssystemen bestaan)

Middels deze app kun je Exchange instellen zónder de complete Exchange Policy mee te krijgen, waardoor Remote Wipe-functionaliteit dus ook niet meer werkt.

In de beschrijving in de Appstore staat letterlijk
- Remote wipe erases only your corporate data in OWA for iPhone and leaves your personal data on the device alone

Ik kan me voorstellen dat dit niet voor iedereen een perfect oplossing is, maar mijn probleem is hiermee opgelost :) Ik kan middels de Privacy-instellingen de toegang tot mijn Contacten en GPS ed. verhinderen.
21-01-2015, 14:51 door Anoniem
Door Erik van Straten:Ik ben ook benieuw naar hoe de beheerder controleert dat jij jij bent als "jij" meldt dat "je jouw" telefoon verloren bent c.q. dat deze gestolen is (met als gevolg dat de beheerder een remote wipe uitvoert). Kun je daar wat over schijven?

Bij ons wordt verwezen naar de Exchange webinterface als iemand zijn device kwijt is. Daar kan hij zelf de opdracht tot wipe geven. Bij ons mogen beheerders (natuurlijk kunnen ze het wel) geen wipe uitvoeren.

Peter
21-01-2015, 15:20 door Anoniem
Een Exchange beheerder kan in principe op afstand een toestel wipen, maar dit komt nauwelijks voor (ik heb dit nog nooit moeten doen en dit mag natuurlijk ook niet zo maar). Je doet dit natuurlijk ook alleen indien het toestel gestolen is of wanneer de gebruiker is ontslagen.
En een Exchange beheerder weet natuurlijk niet of je toestel gestolen is of je ontslagen bent, zolang dit niet gemeld wordt.

nb: een gebruiker kan zelf via Outlook WebAccess (owa) zelf ook zijn toestel wipen. Dat lijkt me handig als je bijvoorbeeld je gsm doorverkoopt.
21-01-2015, 16:54 door mcb
Via mijn opleiding heb ik een mailadres gekregen wat draait op een Microsoft Exchange 2013 Server. Ik kan dit account instellen op mijn iPhone zodat ik mobiel mijn email en agenda kan benaderen.
Misschien is het een idee om niet de exchange app/module te gebruiken maar alleen OWA via je browser.

Je kan nog steeds overal bij, maar je hebt alleen niets lokaal staan.
Als geen probleem is om niet offline te kunnen werken, zou ik voor dit kiezen.
23-01-2015, 10:47 door Orion84
Door Anoniem: @Orion84: Nee dit is een beperking van iOS - het niet ondersteunen van een partial wipe / email-profile only; niet Exchange. Zijn allerlei work-arounds voor mogelijk middels sandboxing, Mobile Iron, etc. die de organisatie zou kunnen overwegen.
Ja en nee. De mogelijkheden zijn inderdaad erg beperkt in iOS, maar met de juiste Mobile Device Management tools zijn er wel mogelijkheden (zoals je zelf ook al zegt).

En zo bedoelde ik het dus ook: het is jammer dat de mogelijkheden beperkt zijn en de beperkte mogelijkheden die er zijn (via betere MDM tools) worden hier niet benut, omdat enkel de ingebakken functionaliteit van Exchange Active Sync wordt gebruikt.
31-01-2015, 09:32 door Anoniem
Als het alleen gaat om mail en agenda, dan is er goed nieuws voor je. Microsoft heeft gisteren een gratis versie van Outlook voor iOS vrijgegeven, en die komt in de plaats van OWA voor iOS. Zoek maar even de app store.
Daarmee omzeil je de profielen, en is je zorg ook weggenomen.
01-02-2015, 09:11 door Erik van Straten - Bijgewerkt: 01-02-2015, 09:12
31-01-2015, 09:32 door Anoniem: Als het alleen gaat om mail en agenda, dan is er goed nieuws voor je. Microsoft heeft gisteren een gratis versie van Outlook voor iOS vrijgegeven, en die komt in de plaats van OWA voor iOS. Zoek maar even de app store.
Daarmee omzeil je de profielen, en is je zorg ook weggenomen.
Dat denk ik niet.

Naar verluidt gaan met deze app (zo te zien zowel iOS als Android) jouw inkomende en uitgaande mails via cloudservers. En alsof dat niet genoeg is, worden ook jouw Exchange user-ID en wachtwoord in de cloud opgeslagen.

Bronnen:
http://www.heise.de/security/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html
http://www.theregister.co.uk/2015/01/30/dev_finds_bleak_security_outlook_for_ios_app/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.