Zranitelnost zabezpečení zjištěná ve službě Device Enrollment Program (DEP) společnosti Apple by mohla umožnit hackerům získat úplný přístup k firemní nebo školní síti.



DEP je bezplatná služba nabízená společností Apple, která umožňuje automatické konfigurování nových zařízení se všemi funkcemi – od vlastních aplikací až po nastavení VPN. Vše, co je potřeba, je sériové číslo zařízení a to je kořen tohoto problému, říká bezpečnostní pracovník, který problém objevil. Mnoho společností, škol a dalších organizací, které provádějí hromadné nákupy, používá server MDM (Mobile Device Management). To jim umožňuje úplně nakonfigurovat nové zařízení se všemi aplikacemi a nastaveními potřebnými v rámci organizace. Program DEP je způsob, jak umožnit novému zařízení přístup k MDM. Jednoduše požádá o sériové číslo a za předpokladu, že číslo je platné pro zařízení dodávané společností Apple nebo autorizovaným prodejcem, bude mu udělen přístup.

MDM server může být nakonfigurován tak, aby vyžadoval uživatelské jméno a heslo, ale některé organizace tak neučinily, protože považují kontrolu pomocí sériového čísla za dostatečnou. Problém je dvojí. Za prvé, není obtížné získat sériové číslo zařízení patřící  zaměstnanci nebo studentovi. A protože DEP neobsahuje žádná omezení, mohly by být použity i útoky k odhadnutí sériových čísel. Za druhé by mohlo být generováno platné sériové číslo, které by pak umožnilo zapsat vlastní zařízení na server MDM. Sériová čísla jsou předvídatelná a jsou postavena pomocí známého schématu. Společnosti Apple byla tato chyba oznámena v květnu letošního roku. Říká se však, že Apple se rozhodl, že tento problém nevyřeší, místo toho pouze poradil organizacím, aby v MDM zapnuli možnost autentizace.

Zdroj: 9to5mac.com