許多企業(yè)都青睞蘋果設(shè)備,其中一部分原因就是蘋果公司的iPhone和Mac在安全方面有著出色的表現(xiàn)。就在上周,福布斯雜志透露部分團(tuán)體正在放棄Android,轉(zhuǎn)而使用iOS設(shè)備,因?yàn)槿藗儞?dān)心在中期選舉中出現(xiàn)黑客攻擊行為。

但蘋果設(shè)備并不完美。研究人員周四聲稱,他們發(fā)現(xiàn)了一種通過(guò)蘋果的產(chǎn)品竊取商業(yè)Wi-Fi和應(yīng)用密碼的新方法。他們破解了蘋果旨在幫助公司管理和保護(hù)iPhone和Mac的技術(shù)。

蘋果并不絕對(duì)安全,iPhone可能泄露企業(yè)WiFi密碼

最近被思科以23.5億美元收購(gòu)的安全公司Duo Security的研究人員稱,軟件漏洞問(wèn)題在于蘋果的設(shè)備注冊(cè)計(jì)劃(DEP)的開放性。他們發(fā)現(xiàn),通過(guò)在DEP系統(tǒng)中注冊(cè)惡意設(shè)備,可以竊取Wi-Fi密碼和更多內(nèi)部商業(yè)機(jī)密。

利用Apple的開放性

雖然研究人員利用了蘋果的注冊(cè)技術(shù),但iPhone制造商蘋果確實(shí)支持在DEP上注冊(cè)iPhone時(shí)的用戶身份驗(yàn)證。但蘋果并不絕對(duì)要求用戶證明他們是誰(shuí)。這取決于使用技術(shù)的公司對(duì)實(shí)名注冊(cè)是否有要求。注冊(cè)iPhone設(shè)備后,研究人員需要在獨(dú)立的移動(dòng)設(shè)備管理(MDM)服務(wù)器上注冊(cè)在DEP上注冊(cè)的iPhone,Mac或tvOS設(shè)備。這既可以保留在硬件內(nèi)部,也可以保存在公司基于云的服務(wù)中。

當(dāng)使用蘋果技術(shù)的公司選擇不要求身份驗(yàn)證時(shí),黑客可能會(huì)找到尚未在公司的MDM服務(wù)器上設(shè)置的,真實(shí)設(shè)備的已注冊(cè)DEP序列號(hào)。研究人員說(shuō),這可以通過(guò)員工的社會(huì)工程檢索來(lái)獲取,也可以檢查人們經(jīng)常發(fā)布序列號(hào)的MDM產(chǎn)品論壇。最傳統(tǒng)的“暴力破解”方法也可行,計(jì)算機(jī)可以在DEP上搜索所有可能的數(shù)字,直到它擊中正確的數(shù)字,這是效率最低的一種選擇。

然后,攻擊者可以使用所選的序列號(hào)在MDM服務(wù)器上注冊(cè)他們的惡意設(shè)備,并作為合法用戶出現(xiàn)在目標(biāo)公司的網(wǎng)絡(luò)上。據(jù)研究人員稱,隨后他們就可以檢索受害者業(yè)務(wù)中的應(yīng)用程序和Wi-Fi密碼。

但是有一個(gè)重要的警告:攻擊者必須搶在合法員工之前將他們的設(shè)備注冊(cè)到公司的MDM服務(wù)器上。因?yàn)镸DM服務(wù)器每個(gè)序列號(hào)只能注冊(cè)一次。

但這可能性實(shí)際上還是很大的。本周晚些時(shí)候在布宜諾斯艾利斯舉行的Ekoparty會(huì)議期間提出攻擊技術(shù)的詹姆斯·巴克萊(James Barclay)說(shuō),黑客可以簡(jiǎn)單地搜索過(guò)去90天內(nèi)生產(chǎn)的所有設(shè)備的序列號(hào)。他告訴福布斯雜志:“你找到尚未注冊(cè)的設(shè)備絕對(duì)是可行的?!?/p>

不要放棄MDM

巴克萊補(bǔ)充道:“總的來(lái)說(shuō),這并不意味著你不應(yīng)該使用DEP或MDM。這些服務(wù)提供的好處超過(guò)了具有的風(fēng)險(xiǎn)。但蘋果和客戶可以采取措施來(lái)減少這種風(fēng)險(xiǎn)。”

在一篇論文中,研究人員表示,在最新的蘋果iPhone和Mac設(shè)備上,蘋果可以在設(shè)備芯片上使用加密技術(shù),在注冊(cè)DEP時(shí)唯一識(shí)別該設(shè)備。他們補(bǔ)充說(shuō),蘋果也可以采用更強(qiáng)大,強(qiáng)制性的身份驗(yàn)證。

巴克萊說(shuō),襲擊方法是在5月向蘋果報(bào)道的。蘋果沒(méi)有透露是否會(huì)因研究成果而進(jìn)行任何更新。該公司在給福布斯的電子郵件中指出,這些攻擊沒(méi)有利用蘋果產(chǎn)品中的任何漏洞。發(fā)言人表示,蘋果關(guān)于注冊(cè)設(shè)備的說(shuō)明手冊(cè)是建議開啟身份驗(yàn)證的,許多MDM提供商建議或要求采取此類安全措施。

但巴克萊認(rèn)為,蘋果公司將進(jìn)行更新以防止此類攻擊?!拔也荒艽硭麄冇?jì)劃做什么,但我相信會(huì)做出一些改變?!?/p>