Un defect în programul Apple Înrollment Device (DEP) permite unui atacator să exploateze informații private pe dispozitivele iPhone, iPad și Mac utilizate de școli și companii și să obțină detalii private, cum ar fi adresa, numărul de telefon și adresele de e-mail ale unei organizații..
Produsele Apple emise de muncă și școală au un defect de număr de serie, potrivit cercetătorilor de la Duo Security (via Forbes), care a fost achiziționat recent de Cisco pentru 2,35 miliarde de dolari.
Fiecare dispozitiv Apple este înregistrat și autentificat cu sistemul DEP folosind numărul său de serie. Clienții de întreprindere și educație utilizează DEP pentru a implementa și configura cu ușurință dispozitivele iPad și iPhone deținute de organizație, computerele Mac și casetele de setare Apple TV.
James Barclay, un inginer senior de cercetare și proiectare al companiei Duo Security, și Rich Smith, directorul Duo Labs, au descoperit că un atacator ar putea utiliza un număr de serie de 12 caractere al unui dispozitiv real care nu a fost configurat pe mobilul unei companii. Serverul de gestionare a dispozitivelor (MDM) încă pentru a solicita înregistrări de activare și a prelua informații sensibile.
Solicitarea înregistrărilor de activare nu are limite de rată, permițând unui atacator să utilizeze o metodă de forță brută pentru a încerca să înregistreze fiecare număr de serie imaginabil. După ce un dispozitiv necinstit a fost autentificat cu succes cu serverul MDM al companiei folosind numărul de serie ales, acesta apare în rețeaua lor ca un utilizator legitim.
„Dacă atacatorii ar fi obținut un număr de serie care nu a fost încă înscris, au spus cercetătorii, ar fi posibil ca aceștia să își înscrie propriul dispozitiv cu acest număr și să adune și mai multe informații, cum ar fi parolele Wi-Fi și aplicațiile personalizate,” CNET a raportat joi.
Apple nu a abordat problema, spunând CNET că nu consideră că aceasta este o amenințare reală, deoarece serverele MDM sunt gestionate de organizații și este în domeniul lor de responsabilitate să-și asigure propriile servere și să aplice măsuri de securitate pentru a limita astfel de atacuri.
Adevărat, sistemul DEP permite organizațiilor să caute în mod opțional autentificarea utilizatorului (un nume de utilizator și o parolă împreună cu numărul de serie al dispozitivului), dar Apple nu aplică această autentificare mai puternică. Cu alte cuvinte, revine întreprinderilor să decidă dacă solicită sau nu utilizatorii să demonstreze cine sunt atunci când se înscriu propriile dispozitive.
Metoda de atac a fost raportată la Apple în mai.