Une faille dans le programme d'inscription d'appareils (DEP) d'Apple permet à un attaquant d'exploiter des informations privées sur les appareils iPhone, iPad et Mac utilisés par les écoles et les entreprises et d'obtenir des détails privés tels que l'adresse, le numéro de téléphone et les adresses e-mail d'une organisation..
Les produits Apple issus du travail et de l'école ont un défaut de numéro de série, selon des chercheurs de Duo Security (via Forbes), récemment acquis par Cisco pour 2,35 milliards de dollars.
Chaque appareil Apple est enregistré et authentifié auprès du système DEP à l'aide de son numéro de série. Les clients des entreprises et de l'enseignement utilisent DEP pour déployer et configurer facilement les appareils iPad et iPhone appartenant à l'organisation, les ordinateurs Mac et les décodeurs Apple TV.
James Barclay, ingénieur principal en recherche et conception chez Duo Security, et Rich Smith, directeur de Duo Labs, ont découvert qu'un attaquant pouvait utiliser le numéro de série à 12 caractères d'un appareil réel qui n'a pas été configuré sur le mobile d'une entreprise. Le serveur de gestion des appareils (MDM) n'a pas encore demandé les enregistrements d'activation et récupéré les informations sensibles.
La demande d'enregistrements d'activation n'a pas de limites de débit, permettant à un attaquant d'utiliser une méthode de force brute pour tenter d'enregistrer tous les numéros de série imaginables. Une fois qu'un périphérique non autorisé a été authentifié avec succès auprès du serveur MDM d'une entreprise à l'aide du numéro de série choisi, il apparaît sur son réseau en tant qu'utilisateur légitime..
"Si les attaquants obtenaient un numéro de série qui n'était pas encore inscrit, selon les chercheurs, il leur serait possible d'enregistrer leur propre appareil avec ce numéro et de recueillir encore plus d'informations, telles que les mots de passe Wi-Fi et les applications personnalisées", CNET a rapporté jeudi.
Apple n'a pas résolu le problème, disant à CNET qu'il ne considère pas cela comme une menace réelle car les serveurs MDM sont gérés par des organisations et il est de leur responsabilité de sécuriser leurs propres serveurs et d'appliquer des mesures de sécurité pour limiter ces attaques..
À vrai dire, le système DEP permet aux organisations de rechercher éventuellement l'authentification des utilisateurs (un nom d'utilisateur et un mot de passe avec le numéro de série de l'appareil), mais Apple n'applique pas cette authentification plus forte. En d'autres termes, il appartient aux entreprises de décider d'exiger ou non des utilisateurs de prouver qui ils sont lorsqu'ils inscrivent leurs propres appareils.
La méthode d'attaque a été signalée à Apple en mai.