Специалистите по сигурността от Duo Research откриха уязвимост в Device Enrollment Program (DEP) програмата на Apple, която позволява кражбата на пароли и достъп до мрежите на корпорации, учебни заведения и пр. DEP е услуга на Apple, която позволява конфигурирането и управлението на потребителско устройство по мрежата. Това включва инсталацията на специфичен софтуер и конфигурирането на потребителските настройки, които са необходими за работа.
След като потребителските устройства бъдат конфигурирани, те могат да бъдат управлявани посредством Mobile Device Management (MDM) сървър, а системата изисква само и единствено валиден сериен номер по подразбиране. Въпреки че се дава възможност за настройването на потребителско име и парола, има компании, които разчитат само на серийните номера.
Именно тук идва и проблемът, защото валиден сериен номер може да бъде придобит относително лесно, обясняват специалистите. Това може да стане посредством социално инженерство от нищо неподозиращи потребители и дори чрез така наречената „brute force“ атака, защото DEP не налага ограничения в броя на опитите за познаване на номерата. Веднъж получили достъп до устройство, което е вписано в MDM, зложелатели могат да получат пълен достъп до всякакви пароли за Wi-Fi мрежи или различни приложения.
Спазвайки правилата в такива случаи от Duo Research са оставили 90 дневен период за реакция на Apple, като проблемът е бил докладван през май месец тази година. Специалистите обаче съобщават, че до момента от Apple не са отстранили уязвимостта, а вместо това съветват потребителите да се използва метод за удостоверяване в MDM, имайки предвид настройването на потребителско име и парола.