蘋果遠端裝置管理服務DEP含有驗證缺陷

資料星河發表於2018-09-30

蘋果遠端裝置管理服務DEP含有驗證缺陷
  安全業者DuoSecurity本週披露,蘋果的裝置註冊計劃(DeviceEnrollmentProgram,DEP)含有驗證缺陷,將允許駭客以暴力破解法取得DEP裝置的檔案,或是在企業中的行動裝置管理(MDM)伺服器上註冊任何裝置。

  DEP為蘋果替企業所打造的免費服務,可自動於企業的行動裝置管理(MobileDeviceManagement)伺服器上註冊蘋果裝置,包括iOS、macOS或tvOS裝置,簡化企業於內部部署及配置蘋果裝置的流程。

  Duo資深安全研究人員JamesBarclay指出,他們發現要取得一個蘋果裝置的DEP檔案只需要該裝置的序號,該檔案可揭露擁有該裝置的企業資訊,因此,假設企業的MDM伺服器在註冊流程中沒有要求額外的使用者身分驗證,那麼駭客還能擅自注冊自己的裝置,進而接收企業的各種憑證、應用程式、Wi-Fi密碼或VPN配置等。

  這是因為在匯入DEP時,於註冊之前只要利用裝置序號就能進行服務的驗證,雖然蘋果的MDM協定支援使用者的身分驗證,但並非強制要求,意味著有些企業可能只使用序號來保護裝置註冊。

  有鑑於裝置序號並未被視為機密資訊,因此很容易在網路上找到,再加上序號通常有特定的架構,並不難猜測,允許駭客利用暴力破解來找出企業中的註冊裝置。

  Duo是在今年5月將此一缺陷提報給蘋果,看起來蘋果並未修補。Barclay強調,DEP對於要大量部署蘋果裝置的企業而言仍是個有價值的工具,就算含有驗證缺陷仍然瑕不掩瑜;他建議蘋果應加強裝置的驗證,限制輸入錯誤的次數及所回覆的企業資訊,也建議任何採用DEP的企業應於MDM伺服器上強制執行身分驗證。

相關文章