Una falla en el Programa de inscripción de dispositivos (DEP) de Apple permite a un atacante explotar información privada en dispositivos iPhone, iPad y Mac utilizados por escuelas y empresas y obtener detalles privados como la dirección, el número de teléfono y las direcciones de correo electrónico de una organización.
El trabajo y los productos de Apple emitidos por la escuela tienen una falla en el número de serie, según los investigadores de Duo Security (a través de Forbes), que Cisco adquirió recientemente por $ 2.35 mil millones.
Cada dispositivo Apple está registrado y autenticado con el sistema DEP utilizando su número de serie. Los clientes empresariales y educativos usan DEP para implementar y configurar fácilmente dispositivos iPad y iPhone, computadoras Mac y decodificadores Apple TV de propiedad de la organización..
James Barclay, ingeniero senior de investigación y diseño de Duo Security, y Rich Smith, director de Duo Labs, descubrieron que un atacante podría usar un número de serie de 12 caracteres de un dispositivo real que no se ha configurado en el móvil de una empresa El servidor de gestión de dispositivos (MDM) aún no solicita registros de activación y recupera información confidencial.
La solicitud de registros de activación no tiene límites de velocidad, lo que permite que un atacante use un método de fuerza bruta para intentar registrar cada número de serie concebible. Después de que un dispositivo no autorizado se haya autenticado correctamente con el servidor MDM de una empresa utilizando el número de serie elegido, aparece en su red como un usuario legítimo.
"Si los atacantes obtuvieran un número de serie que aún no se había registrado, los investigadores dijeron que les sería posible inscribir su propio dispositivo con ese número y recopilar aún más información, como contraseñas de Wi-Fi y aplicaciones personalizadas". CNET informó el jueves.
Apple no ha abordado el problema, diciéndole a CNET que no considera que esto sea una amenaza real porque los servidores MDM son administrados por organizaciones y es responsabilidad de ellos asegurar sus propios servidores y aplicar medidas de seguridad para limitar tales ataques..
A decir verdad, el sistema DEP permite a las organizaciones buscar opcionalmente autenticación de usuario (un nombre de usuario y una contraseña junto con el número de serie del dispositivo), pero Apple no impone esta autenticación más fuerte. En otras palabras, corresponde a las empresas decidir si requieren o no que los usuarios demuestren quiénes son al inscribir sus propios dispositivos..
El método de ataque fue reportado a Apple en mayo.