Kelemahan pada Program Pendaftaran Perangkat Apple (DEP) memungkinkan penyerang untuk mengeksploitasi informasi pribadi di iPhone, iPad dan perangkat Mac yang digunakan oleh sekolah dan bisnis dan mendapatkan detail pribadi seperti alamat organisasi, nomor telepon, dan alamat email.
Produk-produk Apple yang dikeluarkan oleh sekolah dan bekerja memiliki cacat nomor seri, menurut peneliti dari Duo Security (via Forbes), yang baru-baru ini diakuisisi oleh Cisco dengan harga $ 2,35 miliar.
Setiap perangkat Apple terdaftar dan diautentikasi dengan sistem DEP menggunakan nomor seri. Pelanggan perusahaan dan pendidikan menggunakan DEP untuk menyebarkan dan mengonfigurasi perangkat iPad dan iPhone milik organisasi, komputer Mac, dan set-top box Apple TV.
James Barclay, seorang peneliti senior dan insinyur desain dengan Duo Security, dan Rich Smith, direktur Duo Labs, telah menemukan bahwa seorang penyerang dapat menggunakan nomor seri 12-karakter dari perangkat nyata yang belum dipasang pada Mobile perusahaan. Server Device Management (MDM) belum meminta catatan aktivasi dan mengambil informasi sensitif.
Permintaan untuk catatan aktivasi tidak memiliki batas nilai, yang memungkinkan penyerang menggunakan metode brute-force untuk mencoba mendaftarkan setiap nomor seri yang mungkin. Setelah perangkat jahat berhasil diautentikasi dengan server MDM perusahaan menggunakan nomor seri yang dipilih, perangkat itu muncul di jaringan mereka sebagai pengguna yang sah.
"Jika penyerang memperoleh nomor seri yang belum terdaftar, kata para peneliti, adalah mungkin bagi mereka untuk mendaftarkan perangkat mereka sendiri dengan nomor itu dan mengumpulkan lebih banyak informasi, seperti kata sandi Wi-Fi dan aplikasi khusus," CNET melaporkan Kamis.
Apple belum mengatasi masalah ini, mengatakan kepada CNET bahwa itu tidak menganggap ini sebagai ancaman nyata karena server MDM dikelola oleh organisasi dan berada dalam domain tanggung jawab mereka untuk mengamankan server mereka sendiri dan menerapkan langkah-langkah keamanan untuk membatasi serangan seperti itu..
Sejujurnya, sistem DEP memungkinkan organisasi untuk secara opsional mencari otentikasi pengguna (nama pengguna dan kata sandi bersama dengan nomor seri perangkat), tetapi Apple tidak memberlakukan otentikasi yang lebih kuat ini. Dengan kata lain, terserah bisnis untuk memutuskan apakah perlu atau tidak pengguna untuk membuktikan siapa mereka saat mendaftarkan perangkat mereka sendiri.
Metode serangan dilaporkan ke Apple pada bulan Mei.