कई व्यवसाय Apple स्मार्टफ़ोन और कंप्यूटर पर अधिक खर्च करना चुनते हैं क्योंकि उन्हें Android या Windows चलाने वाले अधिक किफायती विकल्पों की तुलना में अधिक सुरक्षित माना जाता है। लेकिन वे पूरी तरह से बुलेटप्रूफ नहीं हैं।
शोधकर्ताओं ने एक Apple सेवा में एक चिंताजनक दोष खोजा है जो हैकर्स को macOS और iOS उपकरणों से व्यावसायिक पासवर्ड चोरी करने की अनुमति देता है।
ऐप्पल ने हाल के वर्षों में व्यावसायिक ग्राहकों को एक बड़ा ध्यान केंद्रित किया है क्योंकि वह अपने प्रतिद्वंद्वियों से बाजार हिस्सेदारी चुरा रहा है। इसने की पसंद के साथ साझेदारी में भी प्रवेश किया है आईबीएम, एक्सेंचर, तथा बिक्री बल बेहतर व्यावसायिक ऐप्स बनाने के लिए।
हालाँकि, ऐसा लगता है कि आपको अभी व्यवसाय में Apple उपकरणों का उपयोग करने में सावधानी बरतनी चाहिए।
Apple डिवाइस एनरोलमेंट प्रोग्राम में मिली सुरक्षा खामी
Duo Security वाले शोधकर्ताओं ने Apple के डिवाइस एनरोलमेंट प्रोग्राम (DEP) में एक खामी का पता लगाया है - जो मदद करता है कंपनियां अपने Mac और iOS उपकरणों को प्रबंधित और सुरक्षित करती हैं — जिससे Wi-Fi और एप्लिकेशन चोरी करना संभव हो जाता है पासवर्ड।
हैक में डीईपी सिस्टम में एक दुष्ट डिवाइस का नामांकन करना शामिल है, फिर इसे कंपनी के मोबाइल डिवाइस मैनेजमेंट (एमडीएम) सर्वर के साथ पंजीकृत करना शामिल है। ऐसा करने के लिए कई तरीके अपनाए जा सकते हैं।
एमडीएम सर्वर में हैकिंग
एक तरीका हैकर्स के लिए डीईपी सिस्टम में पहले से पंजीकृत एक सीरियल नंबर खोजने के लिए होगा, लेकिन अभी तक कंपनी के सर्वर पर सोशल इंजीनियरिंग का उपयोग करके सेट नहीं किया गया है। हम सभी जानते हैं कि हैकर्स के लिए बिना सोचे-समझे उपयोगकर्ताओं को जानकारी देने के लिए राजी करना कितना आसान हो सकता है।
वैकल्पिक रूप से, हैकर्स एमडीएम उत्पाद फ़ोरम खोज सकते हैं जहां कर्मचारी अक्सर समर्थन के लिए सीरियल नंबर पोस्ट करते हैं, डुओ सिक्योरिटी का कहना है। एक और तरीका यह होगा कि एक मैच मिलने तक अनगिनत सीरियल नंबरों के माध्यम से साइकिल चलाने के लिए "ब्रूट फोर्स" सॉफ्टवेयर का उपयोग किया जाए।
एक बार जब उनके पास एमडीएम सर्वर पर एक उपकरण नामांकित हो जाता है, तो पूरे कंपनी में उपयोग किए जाने वाले एप्लिकेशन और वाई-फाई नेटवर्क के लिए पासवर्ड पुनर्प्राप्त करना संभव है।
चेतावनी हैं
आप सोच सकते हैं कि इस तरह का हमला होना लगभग असंभव है। और चेतावनी हैं।
"हमलावर को वैध कर्मचारी करने से पहले कंपनी के एमडीएम सर्वर पर अपने डिवाइस को नामांकित करना होगा," बताते हैं फोर्ब्स. "यह केवल उस आवश्यक सीरियल नंबर को एक बार स्वीकार करेगा।"
डुओ शोधकर्ताओं के मुताबिक, हालांकि, यह उतना मुश्किल नहीं है जितना लगता है। सभी हैकर्स को पिछले 90 दिनों में निर्मित उत्पादों के सीरियल नंबर की खोज करनी होती है। शोधकर्ता जेम्स बार्कले कहते हैं, "यह निश्चित रूप से संभव है कि आपको ऐसे उपकरण मिलेंगे जिनका अभी तक नामांकन नहीं हुआ है।"
इसका मतलब यह नहीं है कि आपको ऐप्पल के डीईपी सिस्टम या एमडीएम से बचना चाहिए, बार्कले कहते हैं। "लाभ यहां निहित जोखिमों से अधिक है। लेकिन ऐसे कदम हैं जिन्हें Apple और ग्राहक कम करने के लिए उठा सकते हैं। ”
डुओ अनुशंसा करता है कि कंपनियां डिवाइस चिप्स पर एन्क्रिप्शन तकनीक का उपयोग करें ताकि वे डीईपी पर नामांकित होने पर उन्हें विशिष्ट रूप से पहचान सकें। ऐप्पल मजबूत, लागू प्रमाणीकरण भी लागू कर सकता है, वे कहते हैं।
Apple समस्या से अवगत है
डुओ ने ऐप्पल को इस मुद्दे की सूचना दी - उसने मई में ऐसा किया - लेकिन ऐप्पल ने पुष्टि नहीं की है कि इसके बारे में कुछ भी किया जाएगा या नहीं।
सेब ने बताया फोर्ब्स कि संभावित हमले अपने उत्पादों में भेद्यता का फायदा नहीं उठाते हैं, और कंपनी अनुशंसा करती है कि व्यवसाय प्रमाणीकरण का उपयोग करें। फिर भी, बार्कले को "विश्वास है कि कुछ बदलाव किए जाएंगे।"
