Ho letto degli "attacchi" MITM aziendali in cui sostituiscono la CA principale sull'hardware aziendale per monitorare il traffico su SSL che si svolge sulla loro rete, ma è possibile che facciano lo stesso sul mio telefono personale se mi collego al wifi?
Penso che non avendo accesso da amministratore al telefono non sarebbero in grado di decifrare il traffico https, ma penserei anche che questo potrebbe essere qualcosa che l'amministratore di rete sarebbe interessato a provare a vedere.
Innanzitutto, non si tratta di sostituire le CA, ma di aggiungere un'altra CA, ovvero la CA proxy utilizzata per intercettare le connessioni SSL. Non saranno in grado di aggiungere la CA al tuo telefono privato solo quando ti connetti al Wifi.
Ma, finché non hai la CA proxy installata, le connessioni SSL semplicemente non funzionano per te all'interno delle reti aziendali, perché i certificati non possono più essere convalidati. Non si fermano semplicemente a intercettare le connessioni SSL se il client non ha la CA proxy installata, ma invece intercettano e lasciano i problemi risultanti al client.
E di solito è perfettamente legittimo che le aziende eseguano l'intercettazione SSL all'interno della propria rete per proteggere la propria infrastruttura. SSL non rende i siti Web magicamente sicuri ma protegge solo il trasporto. I malware possono ancora essere consegnati dai siti Web che utilizzano SSL, deliberatamente o più comunemente perché il sito è stato violato. Se non ti piace che il tuo telefono privato sia monitorato all'interno della rete aziendale, semplicemente non connettersi ad esso. Ciò sarebbe probabilmente più sicuro anche per l'azienda, dal momento che questo è un possibile vettore di attacco a cui non importa.
Per aggiungere all'eccellente risposta di Steffan, la semplice connessione del telefono al WiFi non può, da sola, aggiungere un certificato (CA o altro). Tuttavia, se abiliti la gestione dei dispositivi mobili del tuo datore di lavoro ( MDM ) sul tuo telefono - che potrebbe essere necessaria per fare cose come accedere all'account di posta elettronica della tua azienda o connettersi a pagine Web interne (intranet) - allora il software MDM potrebbe essere in grado di installare un certificato CA root.
I dettagli di ciò che MDM rende possibile dipendono dal sistema operativo del telefono e dal software MDM utilizzato, ma tutti i principali sistemi operativi mobili supportano almeno alcuni MDM. D'altra parte, solo perché MDM è in uso non significa che sia stato installato un certificato CA. MDM viene utilizzato anche per molte altre cose. Tra le più comuni vi è l'applicazione di un PIN sul telefono, richiedendo che i dati del telefono vengano crittografati e dando alla società la possibilità di cancellare a distanza il telefono in caso di furto (o se si lascia la società mentre ci sono documenti sensibili al telefono o simili).
Per sapere quale MDM sta usando il tuo datore di lavoro (se esiste), ti suggerisco di dare un'occhiata al sito web IT / helpdesk e vedere se riesci a trovare una risposta. Altrimenti, prova a chiederglielo. In alternativa, semplicemente non aggiungere nulla dal tuo datore di lavoro al telefono - nessun certificato, nessun account di posta elettronica aziendale, nessuna app aziendale, ecc. - e conservalo come dispositivo personale. Potrebbe comunque non essere possibile utilizzare il WiFi interno per TLS (HTTPS, ecc.) Se richiede un certificato CA, sebbene ...
Leggi altre domande sui tag encryption tls man-in-the-middle certificate-authority