Een fout in Apple's Device Enrollment Program (DEP) stelt een aanvaller in staat privé-informatie te gebruiken op iPhone-, iPad- en Mac-apparaten die door scholen en bedrijven worden gebruikt en privégegevens te verkrijgen, zoals het adres van een organisatie, het telefoonnummer en e-mailadressen.
Werk en op school uitgegeven Apple-producten hebben een serienummerfout, volgens onderzoekers van Duo Security (via Forbes), dat onlangs door Cisco is gekocht voor $ 2,35 miljard.
Elk Apple-apparaat is geregistreerd en geverifieerd bij het DEP-systeem met behulp van het serienummer. Zakelijke en educatieve klanten gebruiken DEP om eenvoudig iPad- en iPhone-apparaten, Mac-computers en settopboxen van Apple TV te implementeren en configureren.
James Barclay, een senior onderzoeks- en ontwerpingenieur bij Duo Security, en Rich Smith, directeur van Duo Labs, hebben ontdekt dat een aanvaller een serienummer van 12 tekens van een echt apparaat kan gebruiken dat niet is ingesteld op Mobile van een bedrijf Device Management (MDM) -server nog om activeringsrecords aan te vragen en gevoelige informatie op te halen.
Het verzoek voor activeringsrecords heeft geen snelheidslimieten, waardoor een aanvaller een brute-force methode kan gebruiken om te proberen elk denkbaar serienummer in te schrijven. Nadat een frauduleus apparaat met succes is geverifieerd bij de MDM-server van een bedrijf met behulp van het gekozen serienummer, verschijnt het op hun netwerk als een legitieme gebruiker.
"Als aanvallers een serienummer zouden krijgen dat nog niet was ingeschreven, zeiden de onderzoekers, zouden ze hun eigen apparaat met dat nummer kunnen registreren en nog meer informatie kunnen verzamelen, zoals wifi-wachtwoorden en aangepaste apps," CNET meldde donderdag.
Apple heeft het probleem niet aangepakt en vertelt CNET dat het dit niet als een reële bedreiging beschouwt omdat MDM-servers door organisaties worden beheerd en het hun verantwoordelijkheid is om hun eigen servers te beveiligen en beveiligingsmaatregelen te treffen om dergelijke aanvallen te beperken.
De waarheid is dat het DEP-systeem organisaties toestaat om optioneel gebruikersauthenticatie te zoeken (een gebruikersnaam en een wachtwoord samen met het serienummer van het apparaat), maar Apple dwingt deze sterkere authenticatie niet af. Met andere woorden, het is aan bedrijven om te beslissen of ze gebruikers al dan niet moeten vragen om te bewijzen wie ze zijn bij het inschrijven van hun eigen apparaten.
De aanvalsmethode werd in mei aan Apple gemeld.