En brist i Apples Device Enrollment Program (DEP) gör det möjligt för en angripare att utnyttja privat information på iPhone, iPad och Mac-enheter som används av skolor och företag och få privata detaljer som en organisations adress, telefonnummer och e-postadresser.
Apple-produkter från arbete och skolan har ett serienummerfel, enligt forskare från Duo Security (via Forbes), som nyligen förvärvades av Cisco för 2,35 miljarder dollar.
Varje Apple-enhet registreras och autentiseras med DEP-systemet med sitt serienummer. Företagskunder och utbildningskunder använder DEP för att enkelt distribuera och konfigurera organisationsägda iPad- och iPhone-enheter, Mac-datorer och Apple TV set-top-lådor.
James Barclay, en senior forsknings- och designingenjör med Duo Security, och Rich Smith, chef för Duo Labs, har upptäckt att en angripare kan använda ett 12-karakters serienummer på en riktig enhet som inte har ställts in på ett företags mobil Enhetshanteringsserver (MDM) ännu för att begära aktiveringsposter och hämta känslig information.
Begäran om aktiveringsposter har inte hastighetsgränser, vilket tillåter en angripare att använda en brute-force-metod för att försöka registrera varje tänkbart serienummer. Efter att en falsk enhet har autentiserats med ett företags MDM-server med det valda serienumret visas det på deras nätverk som en legitim användare.
"Om angriparna fick ett serienummer som ännu inte hade registrerats, sa forskarna, skulle det vara möjligt för dem att registrera sin egen enhet med det numret och samla ännu mer information, till exempel Wi-Fi-lösenord och anpassade appar," CNET rapporterade torsdag.
Apple har inte tagit upp problemet och berättar för CNET att det inte anser att detta är ett verkligt hot eftersom MDM-servrar hanteras av organisationer och det ligger inom deras ansvarsområde att säkra sina egna servrar och tillämpa säkerhetsåtgärder för att begränsa sådana attacker.
Sanningen är att DEP-systemet tillåter organisationer att valfritt söka användarautentisering (ett användarnamn och ett lösenord tillsammans med enhetens serienummer), men Apple verkställer inte denna starkare autentisering. Med andra ord, det är upp till företag att bestämma om de ska kräva att användare ska bevisa vem de är när de registrerar sina egna enheter.
Attackmetoden rapporterades till Apple i maj.