Ett fel i Apples Enhetsregistreringsprogram lÄter hackare fÄ kÀnslig information

Schoolwork app

Ett fel i Apples Enhetsregistreringsprogram (DEP) tillÄter en angripare att utnyttja privat information pÄ iPhone-, iPad- och Mac-enheter som anvÀnds av skolor och företag och fÄ privata uppgifter som organisationens adress, telefonnummer och e-postadresser.

Arbets- och skolutgivna Apple-produkter har ett serienummerfel, enligt till forskare frÄn Duo Security (via Forbes), som nyligen förvÀrvades av Cisco för 2,35 miljarder dollar.

Varje Apple-enhet registreras och autentiseras med DEP-systemet med sitt serienummer. Företagskunder och utbildningskunder anvÀnder DEP för att enkelt distribuera och konfigurera organisationsÀgda iPad- och iPhone-enheter, Mac-datorer och Apple TV-digitalboxar.

James Barclay, senior forsknings- och designtekniker med Duo Security, och Rich Smith, chef för Duo Labs, har upptÀckt att en angripare kan anvÀnda ett 12-tecken serienummer pÄ en riktig enhet som inte har stÀllts in pÄ ett företags mobil Device Management (MDM) -server Ànnu för att begÀra aktiveringsposter och hÀmta kÀnslig information.

BegÀran om aktiveringsposter har inte hastighetsgrÀnser, vilket tillÄter en angripare att anvÀnda en brute-force-metod för att försöka registrera alla tÀnkbara serienummer. Efter att en oseriös enhet har godkÀnts framgÄngsrikt med ett företags MDM-server med det valda serienumret, visas det i deras nÀtverk som en legitim anvÀndare.

“Om angripare fick ett serienummer som inte hade registrerats Ă€nnu, sa forskarna, skulle det vara möjligt för dem att registrera sin egen enhet med det numret och samla in Ă€nnu mer information, till exempel Wi-Fi-lösenord och anpassade appar,” CNET rapporterad Torsdag.

Apple har inte tagit upp frÄgan och berÀttat för CNET att de inte anser att detta Àr ett verkligt hot eftersom MDM-servrar hanteras av organisationer och det ligger inom deras ansvarsomrÄde att sÀkra sina egna servrar och vidta sÀkerhetsÄtgÀrder för att begrÀnsa sÄdana attacker.

Sanningen att sÀga tillÄter DEP-systemet organisationer att eventuellt söka anvÀndarautentisering (ett anvÀndarnamn och ett lösenord tillsammans med enhetens serienummer), men Apple verkstÀller inte denna starkare autentisering. Med andra ord Àr det upp till företag att avgöra om de ska krÀva att anvÀndarna ska bevisa vem de Àr nÀr de registrerar sina egna enheter.

Attackmetoden rapporterades till Apple i maj.