PESQUISADORESdescobriram uma falha de segurança no Programa de Registro de Dispositivos (DEP) da Apple que pode permitir que um invasor tenha acesso total a uma rede corporativa ou escolar.
O fundo
Para os não iniciados, o DEP é um serviço da Apple que permite que as empresas configurem e gerenciem o dispositivo de um usuário em uma rede. Inclui a instalação de aplicativos específicos e a configuração das configurações do usuário necessárias no trabalho.
Quando a configuração estiver concluída, esses dispositivos poderão ser gerenciados pelo servidor MDM (Mobile Device Management) de uma organização. O Programa de Inscrição de Dispositivos procura apenas um número de série válido para obter acesso do MDM.
A falha de segurança
Embora o servidor MDM possa ser configurado para solicitar nome de usuário e senha, algumas organizações não acham necessário e dependem apenas de números de série.
De acordo com a Duo Research , existem várias maneiras de obter um número de série válido, como a engenharia social de usuários desavisados. Até mesmo a “força bruta” pode ser usada para adivinhar os números de série, pois a API da DEP não coloca um limite no número de consultas.
As implicações
Quando um agente mal-entendido obtém um dispositivo inscrito em um servidor MDM, ele pode recuperar facilmente senhas de aplicativos e redes Wi-Fi usadas pelos membros da empresa.
Resposta da Apple
De acordo com as práticas de segurança padrão, as vulnerabilidades são relatadas à empresa em questão com um prazo de 90 dias para consertá-la antes que os detalhes sejam divulgados em público.
A Duo Research fez o mesmo e relatou essa falha de segurança em maio, mas afirma que a Apple ainda não resolveu o problema. Em vez disso, a Apple aconselhou as organizações a adotar o método de autenticação no MDM.
