您的位置:首页 >消费 >

科技在线:苹果设备注册计划中的缺陷使黑客能够获取敏感数据

来源:时间:2021-05-18

小编这个字眼最开始还是在言情小说的杂志上面,那种读者回复的时候,才会有作者使用小编这个字眼自称,但是近期有关于苹果设备注册计划中的缺陷使黑客能够获取敏感数据是的消息挺多人想知道的,跟着小编一起来看看吧!

苹果设备注册计划(DEP)中的一个漏洞使攻击者可以利用学校和企业使用的iPhone,iPad和Mac设备上的私人信息,并猎取私人详细信息,例如组织的地址,电话号码和电子邮件地址。

根据Duo Security (通过《福布斯》)的研究人员说,工作和学校发行的Apple产品都有序列号缺陷,该产品最近被思科以23.5亿美元收购。

每个Apple设备都使用其序列号在DEP系统中注册并进行身份验证。企业和教育客户使用DEP轻松部署和配置组织拥有的iPad和iPhone设备,Mac计算机和Apple TV机顶盒。

Duo Security的高级研究和设计工程师James Barclay和Duo Labs的主管Rich Smith发现,攻击者可以使用公司的Mobile上未设置的真实设备的12个字符的序列号设备治理(MDM)服务器尚未请求激活记录并检索敏感信息。

激活记录的请求没有速率限制,从而使攻击者可以使用蛮力方法尝试注册每个可能的序列号。使用所选的序列号成功通过公司的MDM服务器对流氓设备进行身份验证之后,该流氓设备将在其网络上显示为合法用户。

“研究人员说,如果攻击者获得了尚未注册的序列号,他们就有可能使用该编号注册自己的设备并收集更多信息,例如Wi-Fi密码和定制的应用程序,” CNET 周四报道。

Apple尚未解决此问题,并告诉CNET它不认为这是真正的威胁,因为MDM服务器由组织治理,并且有责任保护自己的服务器并采取安全措施来限制此类攻击。

说实话,DEP系统同意 组织有选择地寻求用户身份验证(用户名和密码以及设备序列号),但是Apple并未强制执行这种更强的身份验证。换句话说,企业应自行决定是否要求用户在注册自己的设备时证明自己是谁。

感谢阅读,以上就是苹果设备注册计划中的缺陷使黑客能够获取敏感数据的相关内容。希望由于本网站的编辑为大家整理的这篇内容能够解决你的困惑。

图说财富