Apples Device Enrollment Program anfällig für Brute-Force-Angriffe

Die MDM-Lösung meldet neue Geräte bereits nach Eingabe einer gültigen Seriennummer an. Eine gültige Seriennummer lässt sich mithilfe eines speziellen Tools erraten. Apple empfiehlt seinen Kunden, bei der Registrierung eines Geräts auch die Anmeldedaten eines Nutzers abzufragen.

Apples Device Enrollment Program (DEP), das von Unternehmen und Bildungseinrichtungen für die Verwaltung von MacBooks, iPhones und iPads benutzt wird, hat eine schwerwiegende Sicherheitslücke. Entdeckt wurde sie von James Barclay, Senior Research and Design Engineer bei Duo Security, und Rich Smith, Director von Duo Labs. Ein Angreifer benötigt offenbar nur die Seriennummer eines Apple-Geräts, um vertrauliche Daten von anderen angemeldeten Geräten auszulesen.

Apple (Bild: Apple)Details der Schwachstelle präsentierten die beiden Sicherheitsforscher gestern auf einer Sicherheitskonferenz im argentinischen Buenos Aires. Sie waren in der Lage, nur durch Eingabe einer Seriennummer eines per DEP verwalteten Geräts Daten wie die Anschrift der Organisation, Telefonnummer und E-Mail-Adresse auszuspähen.

Die zwölfstelligen Seriennummern von Apple-Produkten generierten die beiden Forscher mithilfe eines selbst entwickelten Tools. Da das Eingabefeld für die Anmeldung eines neuen Geräts beim Device Enrollment Program keine Einschränkungen kennt, könnte ein Angreifer eine korrekte Seriennummer per Brute-Force-Angriff erraten.

Mit der Seriennummer eines noch nicht registrierten, aber für die Registrierung vorgesehenen Geräts konnten die Forscher aufgrund des Bugs ihr eigenes Gerät beim Device Enrollment Program anmelden. Danach erhielten sie Zugriff auf weitere Daten wie WLAN-Passwörter und spezielle Apps.

Gegenüber Apple legten die Forscher die Anfälligkeit am 16. Mai offen. Das Unternehmen aus Cupertino bestätigte Bericht bereits am 17. Mai. Allerdings sieht Apple die Schwachstelle nicht als Fehler an. Es gebe bereits die Empfehlung, bei der Anmeldung neuer Geräte neben der Seriennummer auf die Anmeldedaten eines Nutzers abzufragen. Die Forscher weisen darauf hin, dass bisher kein Fix für das Problem vorliegt.

Whitepaper

Die Vorteile der Zentralisierung von PC- und Mac-Management an einem Ort

Mac-Computer werden immer beliebter. IT-Abteilungen stehen vor der Aufgabe, diese Geräte zu verwalten und tun sich damit oft schwer. Welche Vorteile die Zentralisierung von PC- und Mac-Management an einem Ort bietet, erklärt dieses Whitepaper.

Themenseiten: Apple, Duo Security, MDM, Mac, iPad, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Apples Device Enrollment Program anfällig für Brute-Force-Angriffe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *