中关村在线

网络设备

商用Apple设备存在重大安全漏洞

据悉,Apple的设备注册计划(DEP)有一个主要的安全漏洞,可能会将公共场所中的WiFi密码、商业登陆等信息泄露,并被黑客利用。

商用Apple设备存在重大安全漏洞(图片来自:alphr.com)

此次漏洞主要存在于Apple设备的身份验证,以及Apple的DEP系统的浅层。由于Apple只是使用序列号将设备添加到企业的DEP中,因此黑客可以上网并获取设备序列号并使用设备进行独立注册。因为序列号长久以来被认为是安全信息,所以没有散列,这也意味着任何人都可以获得序列号。

现在,黑客可以使用序列号将任何设备注册到组织的移动设备管理(MDM)服务器,从而获得对特权信息的访问权限。授予访问权限是因为存在一部分企业没有启用了用户身份验证,Apple的文档也没有提及它是否需要。这导致许多公司认为MDM会自动执行此操作。

研究人员发现的另一个问题是,攻击者可以通过使用开源软件、网络攻击或工程项目找到一系列商用Apple设备。由于DEP提供电话号码和电子邮件地址等数据,因此犯罪分子可能会攻击这些公司的服务频道或IT团队。

Duo Security的高级研发工程师James Barclay表示“在相关MDM服务器不强制执行额外身份验证的配置中,恶意行为者可能会将任意设备注册到组织的MDM服务器中。”

由于Apple不使用任何设备序列号来识别用户,所以导致黑客很容易入侵企业办公网络。如果Apple要求企业坚持将用户身份验证作为一种安全方法,那么企业就会更好地保护免受网络攻击。

展开全文
人赞过该文
内容纠错

相关电商优惠

评论

更多评论
还没有人评论~ 快来抢沙发吧~

读过此文的还读过

点击加载更多
说点什么吧~ 0

发评论,赚金豆

收藏 0 分享
首页查报价问答论坛下载手机笔记本游戏硬件数码影音家用电器办公打印 更多

更多频道

频道导航
辅助工具