MelaIl Device Enrollment Program (DEP) di ha una specializzazione sicurezza buco maturo per essere sfruttato dagli hacker. La notizia arriva da Duo Security che ha scoperto una grave vulnerabilità nei dispositivi Apple che può esporre password Wi-Fi, accessi aziendali e altro agli hacker.
Vedi correlati
Il problema risiede nell'autenticazione dei dispositivi e nella mancanza di comprensione di come funzionano i sistemi DEP di Apple. Poiché Apple utilizza semplicemente i numeri di serie per aggiungere dispositivi al DEP di un'azienda, un hacker può andare online e prendere i numeri di serie del dispositivo e registrarsi con un dispositivo. Poiché si ritiene che i numeri di serie siano informazioni innocue, non sono sottoposti ad hashing, il che significa che chiunque può accedervi.
Ora, armati di numeri di serie, gli hacker possono registrare qualsiasi dispositivo nel server di gestione dei dispositivi mobili (MDM) di un'organizzazione, ottenendo l'accesso a informazioni privilegiate. L'accesso è concesso perché non tutte le organizzazioni hanno l'autenticazione utente abilitata e la documentazione di Apple non menziona che è necessaria. Ciò porta molte aziende a credere che MDM lo faccia automaticamente. Non è così.
LEGGI SUCCESSIVO: Come Apple è diventata la prima azienda al mondo da 1 trilione di dollari
Un altro problema identificato dai ricercatori ha rivelato che un utente malintenzionato potrebbe trovare numeri di serie di dispositivi utilizzando l'intelligenza open source, attacchi di forza bruta o ingegneria sociale. Poiché il DEP fornisce dati come numeri di telefono e indirizzi e-mail, un criminale potrebbe attaccare l'help desk o il team IT dell'azienda.
Poiché Apple non utilizza altro che il numero di serie del dispositivo per identificare l'utente come una necessità, è abbastanza facile per i criminali irrompere. Se Apple imponesse alle aziende di insistere anche sull'autenticazione degli utenti come metodo di sicurezza, le aziende sarebbero meglio protette da questi attacchi.
“Oppure nelle configurazioni in cui un server MDM associato non applica un'autenticazione aggiuntiva, un malintenzionato può farlo registrare potenzialmente un dispositivo arbitrario nel server MDM di un'organizzazione", James Barclay, ingegnere senior di ricerca e sviluppo presso Duo Security disse.
"La possibilità di registrare un dispositivo scelto al server MDM di un'organizzazione può avere conseguenze significative, successivamente consentendo l'accesso alle risorse private di un'organizzazione, o anche l'accesso VPN completo all'interno sistemi”.
