Mnoga podjetja se odločijo, da bodo za pametne telefone in računalnike Apple porabila več, ker naj bi bila varnejša od bolj dostopnih alternativ z operacijskim sistemom Android ali Windows. Vendar niso popolnoma neprebojni.
Raziskovalci so v eni od storitev Apple odkrili zaskrbljujočo napako, ki hekerjem omogoča krajo poslovnih gesel iz naprav macOS in iOS.
Apple je v zadnjih letih naredil velik poudarek na poslovnih strankah, saj si prizadeva, da bi svojim konkurentom ukradel tržni delež. Sklenil je celo partnerstva s podobnimi IBM, Poudarjanje, in Prodajno silo za izdelavo boljših poslovnih aplikacij.
Zdi pa se, da bi morali biti pri uporabi naprav Apple v poslu zdaj previdni.
Varnostna napaka, odkrita v programu za vpis naprav Apple
Raziskovalci z Duo Security so odkrili napako v Applovem programu za vpis naprav (DEP) - kar pomaga podjetja upravljajo in varujejo svoje naprave Mac in iOS-to omogoča krajo Wi-Fi in aplikacij gesla.
Hack vključuje včlanitev lažne naprave v sistem DEP, nato pa njeno registracijo na strežniku podjetja za upravljanje mobilnih naprav (MDM) podjetja. Za to lahko uporabite številne metode.
Vdor v strežnik MDM
Eden od načinov bi bil, da hekerji z uporabo socialnega inženiringa poiščejo serijsko številko, ki je že registrirana v sistemu DEP, vendar še ni nastavljena na strežniku podjetja. Vsi vemo, kako lahko hekerji prepričajo nič hudega sluteče uporabnike, da se odrečejo informacijam.
Lahko pa bi hekerji iskali po forumih izdelkov MDM, kjer zaposleni za podporo pogosto objavljajo serijske številke, pravi Duo Security. Druga metoda bi bila uporaba programske opreme "brute force" za kroženje po neštetih serijskih številkah, dokler se ne najde ujemanje.
Ko imajo napravo vpisano na strežnik MDM, je mogoče pridobiti gesla za aplikacije in omrežja Wi-Fi, ki se uporabljajo v celotnem podjetju.
Obstajajo opozorila
Morda mislite, da je do takšnega napada skoraj nemogoče. In obstajajo opozorila.
"Napadalec mora vnesti svojo napravo na strežnik podjetja MDM, preden to stori zakoniti zaposleni," pojasnjuje Forbes. "To zahtevano serijsko številko bo sprejel samo enkrat."
Po mnenju raziskovalcev Duo ni tako težko, kot se sliši. Hekerji morajo le iskati serijske številke izdelkov, proizvedenih v zadnjih 90 dneh. "Vsekakor je mogoče, da boste našli naprave, ki se še niso vpisale," pravi raziskovalec James Barclay.
To ne pomeni, da se morate izogibati Applovemu sistemu DEP ali MDM, pravi Barclay. »Koristi odtehtajo inherentna tveganja. Vendar pa obstajajo koraki, ki bi jih Apple in kupci lahko ublažili. "
Duo priporoča, da podjetja uporabljajo tehnologijo šifriranja na čipih naprav, da jih enolično identificirajo, ko so vpisani v DEP. Dodajajo, da bi lahko Apple uvedel tudi močnejšo, prisilno preverjanje pristnosti.
Apple se zaveda težave
Duo je Apple prijavil to težavo - to je storil že maja - vendar Apple ni potrdil, ali bo glede tega kaj storjeno.
Apple je povedal Forbes da možni napadi ne izkoriščajo ranljivosti v lastnih izdelkih in podjetje podjetjem priporoča uporabo preverjanja pristnosti. Kljub temu je Barclay "prepričan, da bo prišlo do nekaterih sprememb".
