Noll
Säkerhet forskare från Duo Labs har hittat en sårbarhet i en Apple-specifika mekanism som används för att styra enheter som en del av stängt företagets nätverk.
Mekanismen är ganska utbredd och känd som Mobile Device Management (MDM). Den används av såväl små som stora företag att registrera ett Apple-enheter under ett management server där systemadministratörer kan leverera gemensamma certifikat, program, Wi-fi-lösenord, VPN-konfigurationer, och så vidare –alla som är specifika för företagets nätverk.
I en uppsats publicerad i dag och delade med ZDNet i förväg, Duo Labs laget har visat en sårbarhet i DEP eller Enheten Inskrivning Program, protokoll genom vilket nya Apple-enheter läggs till i ett MDM-server.
Mer specifikt, Duo Labs forskare säger att “enheten autentisering” processen av DEP system kan utnyttjas av en angripare –steg #4 i bilden nedan.

Duo forskare säger att brister i det sätt DEP var utformad för att tillåta en angripare att lura autentisering steg och registrera en enhet av angriparens välja i en organisation är MDM-server.
Dessutom, forskare säger också DEP pre-registrering autentisering process kan också missbrukas för att läcka information om den organisation som äger en specifik enhet, information som kan missbrukas för planering av framtida attacker.
Dessutom: Det bästa sättet att köpa en ny iPhone, Galaxy, OnePlus telefon just nu
Den främsta anledningen till varför dessa attacker på MDM DEP autentisering process är möjligt beror på att Apple bara förlitar sig på en enhets serienummer för att unikt identifiera en iPhone, iPad eller Mac-enhet som läggs till en MDM-server.
“Brister i Apples Enhet Inskrivning Program autentisering som beskrivs i [vår] papper kan vara sanerade på flera sätt,” sade Duo Labs forskare.
“Några av de rekommenderade sanering steg kommer att kräva en re-utformning av hur DEP och MDM inskrivning arbete, och som kan kräva ändringar i maskinvara, medan andra är mer enkel och kan genomföras direkt genom att kunder som använder DEP.”
Dessa sanering åtgärder beskrivs i en 32-sidig rapport som släpptes idag. De har användning av kryptografiska signaturer som genereras av moderna chips som är inbäddade i Apples senaste produkter, och lägga till en ränta-gräns för DEP API-förfrågningar för att förhindra mass-enhet data skörd, eller användning av modern stöd för autentisering via SAML eller Auth 2.0 som en del av DEP registreringen.
“Oavsett autentisering svagheter i det nuvarande genomförandet av Apples Enhet Inskrivning Program, det är ingen tvekan om att det fortfarande ger värde för organisationer med stora flottor av Apple-enheter,” forskarna säger, också tyder på frågan fann de kan minskas genom olika säkerhets-bästa praxis tillämpas på interna nätverk och användarnas enheter.
Duo sa att det anmälda Apple av MDM DEP sårbarhet i Maj detta år. Apple har inte ut några motåtgärder som av ännu. Forskare kommer att presentera sina resultat i morgon, den 28 September, på ekoparty security conference, som hölls i Buenos Aires, Argentina.
Relaterade artiklar:
iPhone XS, XS Max, och XR tech specsApple iPhone XS Max pris toppar på $1,449 — och 8 andra keynote takeawaysOne mindre sak: Inga nya MacsiPhone XR? Vilken typ av namn är det?Apple iPhone XS händelse: numbersApple detaljer nya uppslukande AR erfarenheter som kommer i arkit åk 2Apple lanserar iOS-12 kommer att finnas September 17iPhone XS: jag definitivt att köpa Apples nya telefon och här är whyiPhone XS: Här är en anledning till att jag inte kommer att köpa Apples nya phoneApple Titta på Serie 4 lanseringar, dubblar ner på digital hälsa och wellness
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0