Uma falha no DEP (Programa de registro de dispositivos) da Apple permite que um invasor explore informações privadas em dispositivos iPhone, iPad e Mac usados por escolas e empresas e obtenha detalhes particulares, como endereço, número de telefone e endereço de email de uma organização.
Os produtos Apple de trabalho e escolares têm uma falha no número de série, de acordo com pesquisadores da Duo Security (via Forbes), que foi adquirida recentemente pela Cisco por US $ 2,35 bilhões..
Cada dispositivo Apple é registrado e autenticado no sistema DEP usando seu número de série. Os clientes corporativos e educacionais usam a DEP para implantar e configurar facilmente dispositivos iPad e iPhone de propriedade da organização, computadores Mac e decodificadores da Apple TV.
James Barclay, engenheiro sênior de pesquisa e design da Duo Security, e Rich Smith, diretor da Duo Labs, descobriram que um invasor pode usar um número de série de 12 caracteres de um dispositivo real que não foi configurado no Mobile da empresa Servidor de gerenciamento de dispositivos (MDM) ainda para solicitar registros de ativação e recuperar informações confidenciais.
A solicitação de registros de ativação não tem limites de taxa, permitindo que um invasor use um método de força bruta para tentar registrar todos os números de série possíveis. Depois que um dispositivo não autorizado é autenticado com êxito no servidor MDM de uma empresa usando o número de série escolhido, ele aparece na rede como um usuário legítimo.
"Se os invasores obtiverem um número de série que ainda não havia sido registrado, disseram os pesquisadores, seria possível registrar seu próprio dispositivo com esse número e coletar ainda mais informações, como senhas de Wi-Fi e aplicativos personalizados". CNET informou quinta-feira.
A Apple não resolveu o problema, dizendo à CNET que não considera isso uma ameaça real, porque os servidores MDM são gerenciados por organizações e é de sua responsabilidade proteger seus próprios servidores e aplicar medidas de segurança para limitar esses ataques..
Na verdade, o sistema DEP permite que as organizações busquem opcionalmente a autenticação do usuário (um nome de usuário e uma senha junto com o número de série do dispositivo), mas a Apple não impõe essa autenticação mais forte. Em outras palavras, cabe às empresas decidir se devem ou não exigir que os usuários provem quem são quando registram seus próprios dispositivos.
O método de ataque foi relatado à Apple em maio.