Nul
Sikkerhed forskere fra Duo Labs har fundet en sårbarhed i en Apple-specifikke mekanisme, der bruges til at styre enheder, som en del af lukkede virksomhedens netværk.
Den mekanisme, der er ganske udbredt og er kendt som Mobile Device Management (MDM). Det bruges af små og store virksomheder for at tilmelde Apple-enheder under en management server fra, hvor system-administratorer kan levere fælles certifikater, applikationer, WiFi adgangskoder, skal VPN-konfigurationer, og så videre-alle er specifikke for den pågældende virksomheds netværk.
I en undersøgelse offentliggjort i dag og delt med ZDNet i forvejen, Duo Labs team har afsløret en sårbarhed i DEP, eller Enheden Tilmelding Program, protocol, gennem hvilke nye Apple enheder, der er føjet til en MDM-server.
Mere specifikt, Duo Labs forskere siger, at “enheden autentificering” – proces i DEP-ordning, der kan udnyttes af en hacker-trin #4 på billedet nedenfor.
Duo forskere siger, at fejl i den måde, DEP var konstrueret give en hacker mulighed for at narre godkendelse skridt og tilmelde en enhed af angriberens valg i en organisation er MDM-server.
Desuden, forskerne siger også, DEP pre-tilmelding godkendelsesprocessen kan også misbruges til at lække oplysninger om den organisation, der ejer et bestemt enhed, oplysninger, der kan misbruges til planlægning af fremtidige angreb.
Også: Den bedste måde at købe en ny iPhone, Galaxy, OnePlus telefonen lige nu
Den vigtigste grund til, at disse angreb på MDM-DEP godkendelsesprocessen er muligt er fordi Apple kun er afhængig af en enheds serienummer, der entydigt identificerer en iPhone, iPad eller Mac-enhed, der er ved at blive føjet til en MDM-server.
“De svagheder, der er i Apple’ s Enhed Tilmelding Program godkendelse, der er skitseret i [vores] papir kan blive udbedret på flere måder,” sagde Duo Labs forskere.
“Nogle af de anbefalede afhjælpning skridt vil kræve re-architecting hvordan DEP og MDM tilmelding arbejde, og kunne kræve hardware ændringer, mens andre er mere ligetil og kan gennemføres direkte af kunder, der bruger DEP.”
Disse oprydning trin er beskrevet i en 32-siders rapport udgivet i dag. De omfatter brug af kryptografiske signaturer, der genereres af moderne chips indlejret i Apple ‘ s nyeste udstyr, tilføjelse af et sats-grænse for forhindring af datakørsel API-anmodninger for at forhindre, at masse-enhed data høst, eller brug af moderne godkendelse support via SAML, eller Auth 2.0 som en del af den DEP tilmelding proces.
“Uanset godkendelse svagheder i den nuværende implementering af Apple’ s Enhed Tilmelding Program, der er ingen tvivl om, at det stadig giver værdi for organisationer med store flåder af Apple-enheder,” siger forskerne, også tyder på, at de spørgsmål, som man fandt kunne afbødes via forskellige sikkerhed bedste praksis kan anvendes til interne netværk og bruger-enheder.
Duo sagde, at det anmeldte Apple af MDM-DEP sårbarhed i Maj dette år. Apple har ikke indsat de modforanstaltninger, som i endnu. Forskere vil præsentere deres resultater i morgen, 28 September, på ekoparty sikkerheds-konference, der blev afholdt i Buenos Aires, Argentina.
Relaterede historier:
iPhone XS, XS-Max, og XR-tech specsApple ‘ s iPhone XS Max pris toppe ud på $1,449 — og 8 andre keynote takeawaysOne mindre ting: Ingen nye MacsiPhone XR? Hvad slags navn er det?Apple iPhone XS tilfælde: Ved numbersApple detaljer nye fordybende AR oplevelser, der kommer i ARKit 2Apple annoncerer iOS 12 vil være tilgængelig September 17iPhone XS: jeg er helt sikkert med at købe Apples nye telefon, og her er whyiPhone XS: Her er den ene grund til at jeg ikke vil købe Apple ‘ s nye phoneApple Watch Serie 4 starter, fordobler ned på digital sundhed og wellness
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre
0