Oleme siin mitu korda rääkinud Seadme registreerimisprogramm (DEP), Apple’i programm ettevõtetele, kes ostavad Maci hulgimĂĽĂĽki ja võimaldab neid arvuteid automaatselt seadistada kohe, kui nad esimest korda WiFi-võrguga ĂĽhendust saavad – Apple’i serverid kontrollivad lihtsalt masina seerianumbrit ja rakendavad automaatselt ettevõtte valitud konfiguratsiooni, installides kõik rakendused nõutud.
Kogu see protsess ja ka selle Maci hilisem kaughooldus on võimalik serveri kaudu Mobiilseadmete haldamine (MDM), mida ettevõte haldab oma töötajatele saadetud arvutite haldamiseks. Kuid Duo Researchi uuringute kohaselt võib sellel programmil olla väga oluline turvarikkumine.
Teadlased leidsid, et häkkerid saavad MDM-ile juurdepääsu saamiseks hankida kehtivad seerianumbrid ja pääseda juurde mitmesugustele tundlikele andmetele ettevõtte ja selle töötajate kohta, nagu e-post, telefon, aadressid või isegi juurdepääs VPN-võrkude andmetele (mis teoreetiliselt võimaldaks ründajatel isegi omadusi muuta mõjutada kogu ettevõtte tegevust).
Probleem algab asjaolust, et Apple pakub võimalust MDM-i autentimiseks isikupärastatud kasutajanime ja parooliga, kuid mõned ettevõtted otsustavad seda turvafunktsiooni eirata – see tähendab, et ainult kehtiva seerianumbriga on võimalik mööda minna DEP-s registreeritud masinatest ja juurdepääs kõigile eespool loetletud andmetele.
Kehtiva seerianumbri saamiseks saab rakendada mitut meetodit: häkkerid võivad teeskleda ettevõtte IT-ala töötajaid ja hankida numbri näiteks töötajatelt või luua arvugeneraatori. jada – need koodid genereeritakse järjestikku ja vähese arvu hankimisel on võimalik genereerida mustreid, mis annavad rĂĽndajale mitmesugused võimalused simuleerida programmis registreeritud Maci omandilist kuuluvust.
Muidugi ei räägi me lihtsalt kaasaskantavast rĂĽnnakust: häkkeril peab olema Maci seerianumber, mis on kĂĽll programmis registreeritud, kuid pole veel aktiveeritud – sest kui Mac on MDM-is aktiveeritud, ei kehti teie kood enam. See on aga risk, mida ettevõtted peaksid Apple’i programmi valimisel arvestama.
Teadlased teatasid Apple’ile probleemist eelmise aasta mais, kuid Apple ei öelnud, kas nad on selle vastu midagi teinud. Avalduses aadressile Forbes, teatab ettevõte, et tema tootes pole haavatavust ja soovitus on, et ettevõte kasutab nende turvalisuse tugevdamiseks kõiki saadaolevaid autentimismeetodeid. Siiski oleks tore, kui Cupertino selles osas midagi ette võtaks – näiteks sisselogimise ja parooli autentimise kohustuslikuks muutmine.
Vaatame, kas Apple’i eksemplar jääb selliseks või kas ettevõte teeb haavatavuse parandamiseks kõik, mis vaja.
Cult of Maci kaudu
