Програмата на Apple Device Enrollment Program има уязвимост, която позволява кражба на пароли

0
32
Програмата на Apple Device Enrollment Program има уязвимост

Специалистите по сигурността от Duo Research откриха уязвимост в Device Enrollment Program (DEP) програмата на Apple, която позволява кражбата на пароли и достъп до мрежите на корпорации, учебни заведения и пр. DEP е услуга на Apple, която позволява конфигурирането и управлението на потребителско устройство по мрежата. Това включва инсталацията на специфичен софтуер и конфигурирането на потребителските настройки, които са необходими за работа.

След като потребителските устройства бъдат конфигурирани, те могат да бъдат управлявани посредством Mobile Device Management (MDM) сървър, а системата изисква само и единствено валиден сериен номер по подразбиране. Въпреки че се дава възможност за настройването на потребителско име и парола, има компании, които разчитат само на серийните номера.

Именно тук идва и проблемът, защото валиден сериен номер може да бъде придобит относително лесно, обясняват специалистите. Това може да стане посредством социално инженерство от нищо неподозиращи потребители и дори чрез така наречената „brute force“ атака, защото DEP не налага ограничения в броя на опитите за познаване на номерата. Веднъж получили достъп до устройство, което е вписано в MDM, зложелатели могат да получат пълен достъп до всякакви пароли за Wi-Fi мрежи или различни приложения.

Спазвайки правилата в такива случаи от Duo Research са оставили 90 дневен период за реакция на Apple, като проблемът е бил докладван през май месец тази година. Специалистите обаче съобщават, че до момента от Apple не са отстранили уязвимостта, а вместо това съветват потребителите да се използва метод за удостоверяване в MDM, имайки предвид настройването на потребителско име и парола.

0/5 (0 Reviews)
Прочетете още:  Леново инсталират адуер на 800 000 компютъра. Понасят глоба от $7.3 млн.