DEP为苹果替企业所打造的免费服务,可自动于企业的行动装置管理(MobileDeviceManagement)服务器上注册苹果装置,包括iOS、macOS或tvOS装置,简化企业于内部部署及配置苹果装置的流程。
Duo资深安全研究人员JamesBarclay指出,他们发现要取得一个苹果装置的DEP档案只需要该装置的序号,该档案可揭露拥有该装置的企业资讯,因此,假设企业的MDM服务器在注册流程中没有要求额外的用户身分验证,那么骇客还能擅自注册自己的装置,进而接收企业的各种凭证、应用程式、Wi-Fi密码或VPN配置等。
这是因为在导入DEP时,于注册之前只要利用装置序号就能进行服务的验证,虽然苹果的MDM协定支援用户的身分验证,但并非强制要求,意味着有些企业可能只使用序号来保护装置注册。
有鉴于装置序号并未被视为机密资讯,因此很容易在网络上找到,再加上序号通常有特定的架构,并不难猜测,允许骇客利用暴力破解来找出企业中的注册装置。
Duo是在今年5月将此一缺陷提报给苹果,看起来苹果并未修补。Barclay强调,DEP对于要大量部署苹果装置的企业而言仍是个有价值的工具,就算含有验证缺陷仍然瑕不掩瑜;他建议苹果应加强装置的验证,限制输入错误的次数及所回覆的企业资讯,也建议任何采用DEP的企业应于MDM服务器上强制执行身分验证。