Zero
I ricercatori di sicurezza di Duo Labs hanno scoperto una vulnerabilità in un Apple specifico meccanismo utilizzato per dispositivi di controllo come parte di chiusa di reti aziendali.
Il meccanismo è molto diffusa ed è noto come il Mobile Device Management (MDM). Esso è utilizzato da piccole e grandi aziende per registrare i dispositivi Apple in un server di gestione da dove gli amministratori di sistema possono consegnare i comuni certificati, applicazioni, WiFi password, configurazioni VPN, e così via, tutti particolari che di rete dell’azienda.
In un documento di ricerca pubblicato oggi e condiviso con ZDNet in anticipo, il Duo del team Labs ha rivelato una vulnerabilità in DEP, o il Dispositivo di Registrazione del Programma, il protocollo con cui i nuovi dispositivi Apple vengono aggiunti a un server MDM.
Più specificamente, il Duo di Laboratori i ricercatori dicono che il “dispositivo di autenticazione” processo di DEP schema può essere sfruttata da un attaccante –passo #4 nell’immagine qui sotto.
Duo ricercatori dicono che i difetti in modo DEP è stato progettato consentire a un utente malintenzionato di ingannare la fase di autenticazione e registrazione di un dispositivo di attacco scegliendo in un’organizzazione o di un server MDM.
Inoltre, i ricercatori dicono inoltre che il DEP di pre-iscrizione il processo di autenticazione può anche essere abusato per perdita di informazioni circa l’organizzazione che possiede un dispositivo specifico, informazioni che possono essere sfruttati per la pianificazione di futuri attacchi.
Inoltre: Il modo migliore per acquistare un nuovo iPhone, Galaxy, OnePlus telefono ora
Il motivo principale per cui questi attacchi sul MDM DEP processo di autenticazione sono possibili perché Apple si basa su un dispositivo numero di serie per identificare in modo univoco un iPhone, iPad, Mac o dispositivo che viene aggiunto a un server MDM.
“Le debolezze Dispositivo di Apple Iscrizione autenticazione del Programma delineato nel [nostro], la carta può essere recuperata in diversi modi,” ha detto il Duo Laboratori di ricercatori.
“Alcune delle misure di bonifica richiederà una nuova architettura come DEP e MDM lavoro registrazione, e potrebbe richiedere modifiche hardware, mentre altri sono più semplici, e possono essere realizzati direttamente dai clienti che utilizzano DEP.”
Queste misure di bonifica sono descritti in 32 pagine di report pubblicato oggi. Essi includono l’uso di firme crittografiche generate dai moderni chip incorporato di Apple, i dispositivi più recenti, l’aggiunta di un tasso-limite DEP richieste di API per prevenire la massa di dati raccolta e / o l’utilizzo di moderne supporto per l’autenticazione tramite SAML o Auth 2.0 come parte del DEP processo di registrazione.
“Quale che sia l’autenticazione di debolezza nell’implementazione corrente di Dispositivo di Apple Programma di Iscrizione, non c’è dubbio che consente comunque di valore per le organizzazioni con grandi flotte di dispositivi Apple,” i ricercatori hanno detto, suggerendo anche il problema sono trovati potrebbe essere mitigato attraverso vari best practice di sicurezza applicate all’interno di reti e dispositivi per l’utente.
Duo detto notificato Apple di MDM DEP vulnerabilità nel Maggio di quest’anno. Apple non ha distribuito alcun contromisure di sicurezza. I ricercatori presenteranno i loro risultati domani, 28 settembre, presso il ekoparty security conference, tenutasi a Buenos Aires, in Argentina.
Storie correlate:
iPhone XS, XS Max, e XR tech specsApple iPhone XS prezzo Max piani fuori a $1,449 — e altri 8 keynote takeawaysOne cosa in meno: Nessun nuovo MacsiPhone XR? Che tipo di nome è?Apple iPhone XS evento: Dal numbersApple dettaglio le nuove coinvolgenti esperienze AR venuta in ARKit 2Apple annuncia iOS 12 sarà disponibile a settembre 17iPhone XS: io sono sicuramente l’acquisto di Apple di un nuovo telefono cellulare ed ecco whyiPhone XS: Ecco un motivo per non comprare il nuovo Apple phoneApple Guardare la Serie 4 lanci, raddoppia sul digitale, salute e benessere
Argomenti Correlati:
Apple
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0