Apple conosce il problema da maggio, la pubblicazione della vulnerabilità scoperta in Apple Device Enrollment Program avviene ora, ma una soluzione completa e sicura al 100% non è ancora disponibile.
In sintesi in alcuni casi basta il numero seriale di un dispositivo Apple per ottenere accesso alla rete interna di aziende, scuole e organizzazioni, incluse le impostazioni per collegamenti tramite rete protette VPN. Una vulnerabilità simile ma in grado di colpire i Mac è emersa in agosto per i Mac ed è già stata risolta da Cupertino.
Tramite Apple Device Enrollment Program viene semplificata la configurazione dei dispositivi Apple che vengono impiegati in aziende, scuole e istituzioni. Basta inserire il numero seriale del dispositivo per configurarlo e installare le app impiegate all’interno della rete locale: fatto questo il dispositivo può essere gestito insieme all’intera flotta tramite software e server Mobile Device Management.
Secondo Due Security un attaccante può entrare in possesso del codice seriale di un dispositivo, captando l’informazione in diversi modi, per esempio con una falsa telefonata dal reparto IT, tramite dati rubati via Internet e così via.
Ma i numeri seriali sono creati con regole specifiche note, così non si può escludere che gli attaccanti possano generarli ex novo per poi verificarne l’esistenza effettuando interrogazioni tramite DEP API per ottenere quelli già registrati sul server. Questo può avvenire perché dopo la registrazione tramite DEP la richiesta di autenticazione dell’utente non è richiesta come obbligatoria, così diverse aziende e organizzazioni affidano la sicurezza esclusivamente al numero seriale. Questo però non è una informazione segreta, come invece lo sono nome utente e password.
Quindi se la richiesta password non è stata impostata dai responsabili IT, a partire dal codice seriale è possibile registrare un dispositivo arbitrario nella rete interna. In questo modo si possono ottenere importanti impostazioni e settaggi delle reti interne di aziende, scuole e organizzazioni, incluso l’accesso completo da remoto tramite VPN.
La società di ricerca che ha scoperto la vulnerabilità Apple Device Enrollment Program ha informato Cupertino nel mese di maggio. Rispettando la pratica che vige nel settore della sicurezza informatica ha atteso 90 giorni prima di renderla pubblica ora, dando così il tempo per sviluppare soluzioni. Finora però Apple non ha rilasciato un fix, limitandosi a consigliare alle organizzazioni di attivare sempre la richiesta di autenticazione nelle impostazioni Mobile Device Management per la gestione delle flotte di dispositivi.
