Un difetto del Device Enrollment Program (DEP) di Apple consente a un utente malintenzionato di sfruttare le informazioni private su dispositivi iPhone, iPad e Mac utilizzati da scuole e aziende e ottenere dettagli privati come l'indirizzo di un'organizzazione, numero di telefono e indirizzi e-mail.
I prodotti Apple di lavoro e scolastici hanno un difetto di numero seriale, secondo i ricercatori di Duo Security (via Forbes), che è stato recentemente acquisito da Cisco per $ 2,35 miliardi.
Ogni dispositivo Apple è registrato e autenticato con il sistema DEP usando il suo numero seriale. I clienti aziendali e dell'istruzione utilizzano DEP per distribuire e configurare facilmente dispositivi iPad e iPhone di proprietà dell'organizzazione, computer Mac e set-top box di Apple TV.
James Barclay, un ingegnere senior di ricerca e progettazione con Duo Security, e Rich Smith, direttore di Duo Labs, hanno scoperto che un utente malintenzionato potrebbe utilizzare un numero seriale di 12 caratteri di un dispositivo reale che non è stato installato sul cellulare di un'azienda Server Device Management (MDM) ancora per richiedere record di attivazione e recuperare informazioni riservate.
La richiesta di record di attivazione non ha limiti di velocità, consentendo a un utente malintenzionato di utilizzare un metodo a forza bruta per tentare di registrare ogni numero seriale concepibile. Dopo che un dispositivo non autorizzato è stato autenticato correttamente con il server MDM di una società utilizzando il numero seriale selezionato, viene visualizzato sulla loro rete come utente legittimo.
"Se gli aggressori avessero ottenuto un numero di serie che non era stato ancora registrato, i ricercatori hanno affermato che sarebbe possibile per loro registrare il proprio dispositivo con quel numero e raccogliere ancora più informazioni, come password Wi-Fi e app personalizzate", CNET ha riferito giovedì.
Apple non ha affrontato il problema, dicendo a CNET che non lo considera una vera minaccia perché i server MDM sono gestiti da organizzazioni ed è nel loro dominio di responsabilità proteggere i propri server e applicare misure di sicurezza per limitare tali attacchi.
A dire il vero, il sistema DEP consente alle organizzazioni di cercare facoltativamente l'autenticazione utente (un nome utente e una password insieme al numero di serie del dispositivo), ma Apple non applica questa autenticazione più forte. In altre parole, spetta alle aziende decidere se richiedere o meno agli utenti di dimostrare chi sono quando si registrano i propri dispositivi.
Il metodo di attacco è stato segnalato ad Apple a maggio.