Appleのデバイス登録プログラム(DEP)に存在する欠陥により、攻撃者は学校や企業で使用されているiPhone、iPad、Macデバイスの個人情報を悪用し、組織の住所、電話番号、電子メールアドレスなどの個人情報を入手する可能性がある。
最近シスコ社に23億5000万ドルで買収されたDuo Security社の研究者によると、職場や学校で支給されたApple製品にはシリアル番号に関する欠陥があるという(Forbes経由)。
各Appleデバイスは、シリアル番号を使用してDEPシステムに登録・認証されます。企業および教育機関のお客様は、DEPを使用して、組織所有のiPadおよびiPhoneデバイス、Macコンピュータ、Apple TVセットトップボックスを簡単に導入および設定できます。
Duo Security のシニア研究設計エンジニアである James Barclay 氏と Duo Labs のディレクターである Rich Smith 氏は、攻撃者が企業のモバイル デバイス管理 (MDM) サーバーにまだ設定されていない実際のデバイスの 12 文字のシリアル番号を使用して、アクティベーション レコードを要求し、機密情報を取得する可能性があることを発見しました。
アクティベーションレコードのリクエストにはレート制限がないため、攻撃者は総当たり攻撃を用いて考えられるあらゆるシリアル番号の登録を試みることができます。不正デバイスが選択されたシリアル番号を使用して企業のMDMサーバーで認証に成功すると、そのデバイスは正当なユーザーとしてネットワーク上に現れます。
「攻撃者がまだ登録されていないシリアル番号を入手した場合、その番号で自分のデバイスを登録し、Wi-Fiのパスワードやカスタマイズされたアプリなど、さらに多くの情報を収集することが可能であると研究者らは述べている」とCNETは木曜日に報じた。
Apple はこの問題には対処しておらず、CNET に対して、MDM サーバーは組織によって管理されており、独自のサーバーを保護し、このような攻撃を制限するセキュリティ対策を適用するのは組織の責任範囲であるため、これは実際の脅威ではないと考えていると述べています。
実のところ、DEPシステムでは、組織がオプションでユーザー認証(ユーザー名とパスワード、デバイスのシリアル番号)を求めることが認められていますが、Appleはこの強力な認証を強制していません。つまり、ユーザーがデバイスを登録する際に本人確認を求めるかどうかは、企業の判断に委ねられているのです。
この攻撃手法は5月にAppleに報告された。
