En feil i Apples Device Enrollment Program (DEP) gjør det mulig for en angriper å utnytte privat informasjon på iPhone, iPad og Mac-enheter som brukes av skoler og bedrifter og skaffe private detaljer som organisasjonens adresse, telefonnummer og e-postadresser.
Apple-produkter fra arbeid og skole har serienummerfeil, ifølge forskere fra Duo Security (via Forbes), som nylig ble kjøpt opp av Cisco for 2,35 milliarder dollar.
Hver Apple-enhet er registrert og autentisert med DEP-systemet ved å bruke serienummeret. Bedriftskunder og utdanningskunder bruker DEP for enkelt å distribuere og konfigurere organisasjonseide iPad- og iPhone-enheter, Mac-datamaskiner og Apple TV set-top-bokser.
James Barclay, senior forsknings- og designingeniør med Duo Security, og Rich Smith, direktør for Duo Labs, har oppdaget at en angriper kunne bruke et serienummer på 12 tegn på en ekte enhet som ikke er satt opp på et selskaps mobil Enhetsadministrasjonsserver (MDM) ennå for å be om aktiveringsposter og hente sensitiv informasjon.
Forespørselen om aktiveringsposter har ikke takstgrenser, noe som tillater en angriper å bruke en brute-force-metode for å prøve å registrere hvert tenkelig serienummer. Etter at en useriøs enhet er blitt godkjent med et firmas MDM-server ved å bruke det valgte serienummeret, vises det på nettverket deres som en legitim bruker.
"Hvis angripere skaffet seg et serienummer som ikke var registrert ennå, sa forskerne, ville det være mulig for dem å registrere sin egen enhet med dette nummeret og samle enda mer informasjon, for eksempel Wi-Fi-passord og tilpassede apper," Det meldte CNET torsdag.
Apple har ikke tatt opp problemet, og forteller CNET at de ikke anser dette som en reell trussel fordi MDM-servere administreres av organisasjoner og det er innenfor deres ansvarsområde å sikre sine egne servere og anvende sikkerhetstiltak for å begrense slike angrep.
Sannheten er at DEP-systemet tillater organisasjoner å eventuelt søke brukerautentisering (et brukernavn og et passord sammen med enhetens serienummer), men Apple håndhever ikke denne sterkere autentiseringen. Med andre ord, det er opp til bedrifter å bestemme seg for om brukerne skal bevise hvem de er når de registrerer sine egne enheter eller ikke.
Angrepsmetoden ble rapportert til Apple i mai.