Ein Fehler in Apples Geräteregistrierungsprogramm (DEP) ermöglicht es einem Angreifer, private Informationen auf iPhone-, iPad- und Mac-Geräten zu nutzen, die von Schulen und Unternehmen verwendet werden, und private Details wie die Adresse, Telefonnummer und E-Mail-Adresse eines Unternehmens abzurufen.
Laut Forschern von Duo Security (über Forbes), die Cisco kürzlich für 2,35 Milliarden US-Dollar erworben hat, weisen Apple-Produkte, die in der Arbeit und in der Schule hergestellt wurden, einen Seriennummernfehler auf.
Jedes Apple-Gerät wird mit seiner Seriennummer beim DEP-System registriert und authentifiziert. Kunden aus Unternehmen und Bildungseinrichtungen können mit DEP auf einfache Weise iPad- und iPhone-Geräte, Mac-Computer und Apple TV-Set-Top-Boxen im Besitz des Unternehmens bereitstellen und konfigurieren.
James Barclay, leitender Forschungs- und Konstruktionsingenieur bei Duo Security, und Rich Smith, Direktor von Duo Labs, haben herausgefunden, dass ein Angreifer eine 12-stellige Seriennummer eines realen Geräts verwenden kann, das nicht auf dem Mobiltelefon eines Unternehmens eingerichtet wurde Der Geräteverwaltungsserver (MDM) muss noch Aktivierungsdatensätze anfordern und vertrauliche Informationen abrufen.
Die Anforderung von Aktivierungsdatensätzen unterliegt keinen Ratenbeschränkungen, sodass ein Angreifer mit einer Brute-Force-Methode versuchen kann, jede erdenkliche Seriennummer zu registrieren. Nachdem ein nicht autorisiertes Gerät mit der ausgewählten Seriennummer erfolgreich beim MDM-Server eines Unternehmens authentifiziert wurde, wird es in seinem Netzwerk als legitimer Benutzer angezeigt.
"Wenn Angreifer eine Seriennummer erhalten würden, die noch nicht registriert wurde, könnten sie ihr eigenes Gerät mit dieser Nummer registrieren und noch mehr Informationen wie Wi-Fi-Passwörter und angepasste Apps sammeln." CNET berichtete am Donnerstag.
Apple hat sich nicht mit dem Problem befasst und CNET mitgeteilt, dass dies keine echte Bedrohung darstellt, da MDM-Server von Organisationen verwaltet werden und es in ihrem Verantwortungsbereich liegt, ihre eigenen Server zu schützen und Sicherheitsmaßnahmen anzuwenden, um solche Angriffe einzuschränken.
Um ehrlich zu sein, das DEP-System ermöglicht es Unternehmen, optional eine Benutzerauthentifizierung zu beantragen (einen Benutzernamen und ein Kennwort zusammen mit der Seriennummer des Geräts), aber Apple erzwingt diese stärkere Authentifizierung nicht. Mit anderen Worten, es ist Sache der Unternehmen, zu entscheiden, ob die Benutzer bei der Registrierung ihrer eigenen Geräte nachweisen müssen, wer sie sind.
Die Angriffsmethode wurde Apple im Mai gemeldet.