Apples Enhetsregistreringsprogram kan läcka känslig information om enheter och deras ägare

0 Shares

iPhones på en MacBook

Säkerhetsforskare har upptäckt ett problem med Device Enrollment Program som används av Apple för att göra det möjligt för organisationer att hantera sina MacBooks och iPhones. Duo Security säger att det är möjligt att få tillgång till känslig data om inskrivna enheter och deras ägare med inget annat än ett serienummer.

Det är till och med möjligt att registrera nya enheter som sedan kan komma åt Wi-Fi-lösenord, VPN-konfigurationer och mer. Apple varnade om problemet redan i maj, men har inte gjort något åt ​​det eftersom företaget inte ser det som en sårbarhet.

Se även:

James Barclay från Duo Security och Rich Smith från Duo Labs delar sina resultat i en uppsats med titeln MDM Me Maybe: Device Enrollment Program Security. De påpekar att även om det finns olika enkla sätt att få enheternas serienummer har forskarna kunnat skapa en enkel seriell generator som kan användas för att söka efter information.

Medan seriegeneratorn inte har släppts säger forskarna att det är väldigt enkelt att skapa. På tal till CNET säger Smith: “Medan vi inte släpper koden kommer jag inte att låtsas vara under intrycket att detta är något som inte kan reproduceras. Det skulle inte vara svårt för någon att replikera kod som vi har utvecklat “.

Papperet beskriver den sårbarhet som har upptäckts:

Device Enrollment Program (DEP) är en tjänst som tillhandahålls av Apple för bootstrapping av Mobile Device Management (MDM) -registrering av iOS-, macOS- och tvOS-enheter. DEP är värd för ett webbaserat API på https://iprofiles.apple.com, som – bland annat – används av cloudconfigurationd-demon på macOS-system för att begära DEP Activation Records och fråga om en viss enhet är registrerad i DEP.

I vår undersökning fann vi att för att hämta DEP-profilen för en Apple-enhet kräver DEP-tjänsten endast att enhetens serienummer ska levereras till ett odokumenterat DEP API. Dessutom utvecklade vi en metod för att instrumentera cloudconfigurationd-demon för att injicera Apple-enhetens serienummer som vi valde i den begäran som skickades till DEP API. Detta gjorde det möjligt för oss att hämta data som är specifika för den enhet som är associerad med det medföljande serienumret.

Att erhålla DEP-profilen för en given Apple-enhet avslöjar information om organisationen som äger enheten och – om MDM-servern inte behöver ytterligare användarautentisering under registrering – kan den användas av en angripare för att registrera en enhet som de väljer till en organisations MDM-server. En gång registrerad kan enheten ta emot valfritt antal certifikat, applikationer, WiFi-lösenord, VPN-konfigurationer och så vidare.

Det är det sista stycket som kanske är det mest oroande. Om en angripare upptäcker ett serienummer som ännu inte har registrerats kan de registrera sin egen enhet för att få tillgång till ännu känsligare data.

Medan Apple-kunder kan vara oroade över resultaten från Duo Security, gör Apple det inte. Företaget säger att det rekommenderar att alla organisationer som använder sitt Enhetsregistreringsprogram använder ytterligare säkerhetsåtgärder för skydd.

Bildkredit: Hadrian / Shutterstock

0 Shares