Co vše může vyčíst MS Autentikátor z mobilu?

[Tomas878]

ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.

Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.

Na zaklade ceho si firma mysli, ze muze prinutit zamestnance k akceptovani licencni smlouvy s MS/Google, resp. ke koupi a pouzivani soukromeho smartphonu pro pracovni ucely?

Zamestnavatel je povinen zamestnanci poskytnout prostredky nutne pro vykon zamestnani, cimz padem mi z toho vychazi, ze pokud si zamestnavatel vymysli nutnost pouziti smartphonu pro nejakou konkretni aplikaci, musi prislusny smartphone, samozrejme na sve naklady, zamestnanci poskytnout.


... jo, nas to v praci ceka taky, taky je mi to proti srsti a taky hledam trosku pisku, co bych do toho mohl nasypat.

no, mě to z pohledu věci nevadí, protože sebou tahat dva krámy se mi úplně nechce. Ale chci mít nějaké info o tom co vše lze sbírat z mobilu za data, a popřípadě to pak řešit.

[Reklama]

[_Tomáš_]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.

správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.

Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.

[Tomas878]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.

správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.

Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.

Takže ani lokalitu? Kterou to kontroluje? Když jsou nastavený limity lokality kde se lze k aplikaci přihlásit?

[_Tomáš_]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.

správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.

Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.

Takže ani lokalitu? Kterou to kontroluje? Když jsou nastavený limity lokality kde se lze k aplikaci přihlásit?

IT Admin ví pouze Country (stát) a jestli ti přístup by na základě lokací a nastavené policy umožněn nebo ne. Lokace se posílá z aplikade na MS servery, ale sám tvrdí, že lokace nejsou ukládány pouze kontrolovány a zahozeny. Historie lokací zůstává uvnitř aplikace, má tam drobnou historii.

Proč to vůbec řešíš?

[Tomas878]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.

správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.

Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.

Takže ani lokalitu? Kterou to kontroluje? Když jsou nastavený limity lokality kde se lze k aplikaci přihlásit?

IT Admin ví pouze Country (stát) a jestli ti přístup by na základě lokací a nastavené policy umožněn nebo ne. Lokace se posílá z aplikade na MS servery, ale sám tvrdí, že lokace nejsou ukládány pouze kontrolovány a zahozeny. Historie lokací zůstává uvnitř aplikace, má tam drobnou historii.

Proč to vůbec řešíš?

Protože to je aplikace nainstalována nedobrovolně na soukromý telefon, kde nejsou profily pro oddělení aplikací jako má například Samsung. A člověk pořádně neví co to dělá a co to komu jak kdy a co reportuje, když má přístup i k SMS...

[Reklama]

[David Lanc]

Ze samotného autentikátoru bez dalších MDM aplikací jako je např. Portál společnosti nezjistí nic. To zařízení se nezaregistruje do tenantu, pouze ten ten autentikátor. Správce může maximálně to propojení zrušit

[_Tomáš_]

Ze samotného autentikátoru bez dalších MDM aplikací jako je např. Portál společnosti nezjistí nic. To zařízení se nezaregistruje do tenantu, pouze ten ten autentikátor. Správce může maximálně to propojení zrušit

nikoliv nic, zjistí třeba tu zemi.

Protože to je aplikace nainstalována nedobrovolně na soukromý telefon, kde nejsou profily pro oddělení aplikací jako má například Samsung. A člověk pořádně neví co to dělá a co to komu jak kdy a co reportuje, když má přístup i k SMS...

Popsané to mají tady v dokumentaci https://support.microsoft.com/en-us/account-billing/common-questions-about-the-microsoft-authenticator-app-12d283d1-bcef-4875-9ae5-ac360e2945dd#:%7E:text=Permission%20to%20access%20your%20location

Zaměstnavatel tě nemůže nutit nainstalovat jakkoukoliv aplikaci na tvůj osobní telefon, pokud to odmítneš, musí ti poskytnout pracovní telefon nebo nutnost přihlašování přes aplikaci zrušit. K instalaci čehokoliv, co potřebuješ pro pracovní účely na svůj telefon je nutný tvůj dobrovolný souhlas (ten můžeš udělit implicitně i tím, že si tu aplikaci sám nainstaluješ a spáruješ), pokud ho ale nedáš, je to problém zaměstnavatele.

[kanoe22]

Tak si proste v praci vypytaj pracovny telefon, co dnes kazda normalna firma kvoli takym veciam dava. Ak to nemieni dat, nie si povinny suhlasit s instalovanim pracovnych veci na sukromne zariadenia - ak sa vdaka tomu niekam nepripojis, je to prekazka v praci na strane zamestnavatela.

Nechapem ale tu nutnost aby to malo pristup k sms a polohe. Sam mam tu aplikaciu na sukromnom telefone a nic take nevyzaduje, vsetko funguje uplne normalne. Pouzivam ju v dvoch rezimoch - bud mi pride push notifikacia kam opisem kod z notebooku, tym padom sa mi automaticky dalej vpnka v notebooku pripoji, alebo v nej mam (neviem ako to pomenovat) zaregistrovanu vpnku s premenlivym kodom, tak ho odpisem z telefonu do vpnky na notebooku.

[pavel411]

na jabku vidím, že má přístup k:
* kamera (foťák)
* face id (identifikuje osobu)
* mobilní data
bavím se o MS Authenticator

[_Tomáš_]

na jabku vidím, že má přístup k:
* kamera (foťák)
* face id (identifikuje osobu)
* mobilní data
bavím se o MS Authenticator

ty práva jsou na ios lazy, správce musí zapnout policy, že se při přihlašování kontroluje pozice, pak si MS auth. vyžádá povolení na lokaci i na ios, viz co má v app storu v manifestu. Samotná aplikace má možnost si vyžádat na ios tyhle oprávnění: location (precise), contact email, user ID/device ID, mobile data, others diagnostics data (drobná telemetrie o používání aplikace)

[Vantomas]

Oprávnění k SMS je z důvodu, že si to samo opisuje kód z SMS, pokud je nějaký takový doručen. Na iOS tohle oprávnění neexistuje, tam si kód musí přepsat* uživatel.

* Existuje tam totiž usnadnění, že kódy z SMS se ukazují v napovídači nad numerickou klávesnicí a tak stačí jen jednou kliknout a nic se přepisovat nemusí.

SMS . Used to make sure your phone number matches the number on record when you sign in with your personal Microsoft account for the first time. We send a text message to the phone on which you installed the app that includes a 6-8 digit verification code. You don't need to find this code and enter it because Authenticator finds it automatically in the text message.

https://support.microsoft.com/en-us/account-billing/common-questions-about-the-microsoft-authenticator-app-12d283d1-bcef-4875-9ae5-ac360e2945dd

[WIFT ​​​​​​​​​​]

Copak MS Authenticator, to je ještě na pohůdku. Ale když vám firma vnutí Microsoft Intune … to je teprv libůstka .
MS Authenticator jsem si v klidu nainstaloval. Na MS Intune jim nikdy nepřistoupím, na to ať mi daj extra telefon, protože si tím nehodlám ten svůj rozj***t. Ono samo za sebe hovoří i hodnocení 2,8* Na Google Play (něco jako když děcka na Google Play hodnotí Family Link, ta idea je hodně podobná).

[AtomicFS]

no, mě to z pohledu věci nevadí, protože sebou tahat dva krámy se mi úplně nechce.

Proč sebou tahat dva krámy? Pracovní telefon může zůstat v práci v zamčeném šuplíku, protože přeci když je človek mimo práci, tak ho nemá nikdo s prací otravovat.

Pracovní věci bych si zásadně na soukromý zařízení neinstaloval, nezávisle na tom jak moc intrusivní to je. Práci a soukromý život nemixovat.

[mikesznovu]

Pokud se vrátím ke kořenům dvou faktorové autentizace,  pro její fungování v SMS formě je potřeba:
- server umět vygenerovat nějaký random kód, který dorazí na zvolený  a ověřený endpoint majitele (tedy v případě SMS je to číslo),
případně lépe , aby to bylo storageless na serveru, tak hash nějakého časového rozmezí, id usera  a třeba IP adresy, případně  prohnaný přes HMAC a/nebo šifrování
-přihlašovací dialog má třetí políčko nebo dál výzvu pro vložení kódu
-zadaný kód se musí shodovat

Ale jak je tomu v moderním pojetí, když je autentikátor pokrokovější a není nutné opisovat SMS, jen něco potvrdit? Tedy   je zbavena nutnost  něco opisovat, ale logika se přesunula, že nestačí  hloupý zařízení co přijme a zobrazí  8 znaků, ale  musí vyslat nějaký signál Confirm/Deny (opět asi nějak zakódovaně) na zpět na server.

Je možné naprogramovat nebo dokonce existuje open source autentifikátor ve variantě Potvrď (a ne zastaralý "Opiš"), který si každá může nasadit, nebo dokonce někdo (významnější) už provozuje? Je napadnutelný, pokud je open source? (nějaký klíče nebo Inicializační vektory má organizace v tajnosti samozřejmě)

Jenom logická poznámka - nestačí  v přihlašovacím dialogu (samotného přistupovaného zdroje, ne autentikátoru) odklepnoutjen nějaké potvrzení "Ano jsem to já", to pak ten záškodník to může odklepnout, musí zadat nějaký secret

PS funguje takový to appka s ořezanými právy přes x-posed, na rootnutém telefonu nebo je potřeba nějaký modul do androidu co skryje stopy prozrazující rootnutí?

[Karmelos]

nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...