Chương trình Device Enrollment Program của Apple có lỗ hổng bảo mật

Apple không cho rằng chương trình DEP của hãng có lỗ hổng - Ảnh: Apple

Theo Apple Insider, chương trình đăng ký thiết bị (Device Enrollment Program-DEP) là một dịch vụ do Apple cung cấp cho phép các trường học, công ty quản lý và định cấu hình thiết bị của người dùng để sử dụng trên hệ thống mạng, bao gồm cài đặt các ứng dụng và thiết lập cấu hình cụ thể mà người dùng yêu cầu trong công việc của họ. Sau khi thiết lập, các thiết bị sau đó có thể được quản lý bởi máy chủ quản lý thiết bị di động (Mobile Device Management-MDM).

James Barclay - kỹ sư thiết kế và nghiên cứu cao cấp của Duo Security và Rich Smith - giám đốc Duo Labs, đã phát hiện ra các lỗ hổng với chương trình này sau khi nhận thấy số sê-ri là tất cả những gì mà một kẻ tấn công tiềm năng cần có để lấy được các thông tin nhạy cảm.

Theo đó, bằng cách nhập số sê-ri của thiết bị đã đăng ký để yêu cầu hồ sơ kích hoạt, các nhà nghiên cứu của Duo Security đã có thể truy xuất các chi tiết như địa chỉ, số điện thoại và địa chỉ email của tổ chức. Và các thông tin này có thể được sử dụng để thực hiện cuộc tấn công kỹ thuật xã hội đối với nhân viên hoặc nhóm hỗ trợ CNTT của công ty.

Có nhiều cách để có được số sê-ri, nhưng Smith cho biết rằng mã 12 ký tự đủ đơn giản để Duo Security tạo ra một chương trình như vậy. Bởi vì các yêu cầu để có được các bản ghi kích hoạt không bị giới hạn, một kẻ tấn công tiềm năng có thể chạy các tìm kiếm mà không có bất kỳ trở ngại nào. Nếu kẻ tấn công có được số sê-ri chưa được đăng ký, họ có thể đăng ký thiết bị của họ vào hệ thống mạng và thu thập thêm thông tin, chẳng hạn như mật khẩu Wi-Fi và các ứng dụng tùy chỉnh.

Duo Security đã tiết lộ lỗ hổng này đến Apple vào ngày 16.5 vừa qua và công ty cho biết Apple đã không giải quyết vấn đề này. “Nhà táo” nói họ không coi vấn đề số sê-ri là một lỗ hổng với các sản phẩm của mình, và trích dẫn đề nghị các tổ chức áp dụng các biện pháp an ninh để hạn chế các cuộc tấn công như vậy.

Hiếu Trung