Unterstützt die SBB Mobile app TLS inspection?

Scheubioppa28

Wir nutzen auf unseren Firmenhandies auch die SBB Mobile App. Seit einiger Zeit funktioniert die aber nicht mehr und unser IT Support versucht das Problem zu finden. In dem Zuge kam die Frage auf, ob die SBB Mobile app auch TLS inspection (TLS = Transport Layer Security Protokoll) unterstützt. Weiss das jemand oder wie kann man das rausfinden?

RedBaron

Scheubioppa28
Ich kann es gerade nicht vertiefter testen (Ferien), aber mein Arbeitgeber hat eine TLS Inspection (malware detection) auf dem Internet Proxy eingerichtet. Via WLAN scheint dies bei unseren iOS Geschäftshandys die SBB Mobile App nicht zu stören, jedenfalls funktionieren Fahrplanabfragen und das Starten von EasyRide im Gebäude problemlos. Für gewisse Domains im Bereich von e-Banking, Krankenkassen usw. sind zwar aus Datenschutzgründen gewisse Ausnahmen für die TLS Inspection definiert, aber sbb.ch dürfte bei uns nicht in dieser Ausnahmenliste enthalten sein. Aber so könnte eure IT ggf. diese Ursache ausschliessen.

Wie äussern sich denn bei euch die Probleme im WLAN? Ich gehe mal davon aus dass die App ausserhalb der Betriebsgebäude über das 5G Mobilfunknetz normal funktioniert, oder wird auch dieser Traffic über irgendein VPN Konstrukt über eure TLS Inspection geleitet?

Krist

RedBaron TLS Inspection

TLS inspection ist Spyware. Das benutzt eine sogenannte “Man in the Middle” Proxy die alles entschlüsselt und wieder verschlüsselt. Dass Resultat ist das die App nich langer mehr das SBB Zertifikat seht, und statt dessen ein von Proxy gefälschtes Zertifikat. Und wann die SBB app dan weigert zu funktionieren dan haben die Programmeure bei SBB ihren Job gut gemacht.

Die Lösung ist um die Spyware aus zu schalten, oder mindestens so zu konfigurieren das die Kommunikation von SBB einfach weiter geleitet wird.

RedBaron

Krist TLS inspection ist Spyware

Gehört zwar eigentlich nicht zum Thema der Diskussion, aber wenn‘s sein muss:
Eine malware detection kann mit https/TLS verschlüsselten Streams nicht umgehen. Daher ist eine TLS Inspection nützlich, damit die malware detection als ‚man in the middle‘ ihren klar definierten Job erfüllen kann und damit die Organisation und ihre User von schädlichen Dateien und Links schützen kann.

Krist

RedBaron TLS inspection aber bedingt das beim Endgerät das Fake Zertifikat das die Proxy generiert akzeptiert wird. Das senkt also die Sicherheit, da man so schwerer Betrügerische Sites anerkannt. Also in name von Sicherheit bekommt man weniger Sicherheit. Wie so oft…

RedBaron

Krist
Das Erkennen von betrügerischen Sites (oder schädlichen Downloads oder URL’s) wird an den Proxy bzw. der malware detection delegiert. Glaub mir, so ein Teil verhält sich in der Praxis beim Surfen deutlich paranoider als jegliches Endgerät, welches sich direkt verbindet.

Krist

Aber das Endgerät seht ein falsches Zertifikat. Wie soll die SBB app unterscheiden zwischen ein Betrugsversuch, und eine TLS Proxy?

Schutz für Malware und betrügerische Sites soll man auf das Endgerät implementieren, und die meiste Browser tun es auch gut heutzutage, deshalb geben zum Beispiel meine Geräte sofort ein Alarm wann dat eine TLS Proxy meine Privacy versucht auszuhebeln.

Und ich verstehe das die SBB app die Arbeit in solche fälle verweigert, und hoffe das bleibt so.

RedBaron

> Krist Und ich verstehe das die SBB app die Arbeit in solche fälle verweigert, und hoffe das bleibt so.

Lies nochmals oben meinen ersten Beitrag.
Du hast Dich in dieser Diskussion endgültig in eine Richtung verrannt, welche den Threadstarter (der hoffentlich aus gutem Grund nicht mehr mitliest) hinten und vorne nichts nützt.

Krist

Wann es bei euch funktioniert dan hat sicher die TSL Proxy eine Ausnahme auch für SBB. Ich bleibe aber dabei das TLS Verbindungen entschlüsseln die Privatsphäre verletzt. Ich benütze deshalb auch keine Firmennetzwerke mehr wann ich auf Kundenbesuch gehe.