苹果设备注册工具 (DEP) 被曝“认证弱点”

翻译：360代码卫士团队

Duo Security 公司的研究人员在苹果的设备注册工具 (Device EnrollmentProgram, DEP) 中发现了一个“认证弱点”，并于2018年5月份告知苹果公司。虽然该弱点并非重大缺陷，但可能带来严重后果。

DEP 用于将苹果设备自动注册到某家公司的移动设备管理 (MDM) 服务器。MDM 用于管理并配置用户设备。DEP 使得这种注册进程加快、更简单且更有效，是拥有大量移动设备的组织机构的福音。Duo 公司评论称，“用户能够开箱即用。如果他们是从苹果或者授权的经销商直接购买设备，那么就无需调整端点配置。”

研究人员发现，问题在于苹果设备用于请求 DEP 配置的未记录的私有 DEP API 中。为了检索 DEP 配置（包含关于拥有该设备的组织机构的信息如邮件地址、电话号码、邮寄地址以及 MDM 注册号码），只要求提供设备的有效序列号作为认证即可，这个进程假设发送序列号的设备就是拥有该序列号的设备。

研究人员在报告中指出该进程存在问题。因为攻击者只需要拥有一个有效的、在 DEP 注册的序列号就能将某台恶意设备注册到组织机构的 MDM 服务器中，或者使用 DEP API 从注册设备中窃取信息。

这些序列号是可预测的，而且是通过已为人知晓的架构构建的。它们从未被视作是秘密，只不过是唯一而已。也就是说攻击者无需找到可能遭泄漏的序列号，只需要生成有效的序列号，然后通过 DEP API 测试是否是注册于 DEP 上的即可。

Duo 安全公司的高级研发工程师 James Barclay 指出，主要的问题在于序列号并非机密，不过这也并没有太大的问题，人们不必为此而停止使用 DEP。通过苹果 MDM 管理设备并使用 DEP 让终端用户更容易注册的好处超过了它们所带来的风险。

虽然该缺陷并不会直接导致数据泄露问题，但仍然存在一些危险。这些危险取决于组织机构如何设置 MDM 服务器。他指出，“如果 MDM 提供的配置数据包括支持帮助号码，那么攻击者能够拨打这个电话并声称自己是已知序列号的拥有者，并试图社工更加有用的信息。如果 MDM 被配置为传播 wifi 配置包括 wifi 密码在内，或者是企业 VPN 密码在内，那么这种信息都会落入攻击者手中，从而带来更严重的后果。”

不过，组织机构仍然可以采取一些修复措施，不管苹果本身是否会采取行动。Barclay 表示，最主要的一点是，组织机构应该在 MDM 注册之前要求用户进行认证。如果办不到这一点，那么 MDM 可以在进程开始时安装一款要求用户在进行进一步配置之前，进行带外用户认证。这样做将把攻击者注册恶意设备的可能性降到最低。

目前的问题是，在很多情况下，并不要求用户在 MDM 注册前进行认证，而且他们还会直接通过 MDM 部署 wifi 密码和 VPN 配置数据等。

这个问题可能会在苹果未来发布的设备中得到解决。新的设备包括 T1 或 T2 加密芯片，在安全封装中加密识别个体设备就很可能做到。研究人员表示，这就能够为既定设备在通过 DEP 注册到组织机构的 MDM 服务器之前，对其身份做加密保证。

Duo 公司未发现苹果公司所采取或计划采取的修复措施。Barclay 表示很可能某些缓解措施可以通过服务器端实现，而无需要求在端点打补丁。

这并非研究人员发现的首个 DEP/MDM 缺陷。macOS管理公司 Fleetsmith 的首席隐私官兼首席安全官以及 Dropbox 公司的资深工程师 Max Belanger 曾在2018年8月举行的黑帽大会上展示，中间人攻击能够拦截从 MDM 向设备发送的应用程序。

截止本文成稿前，苹果方面并未就此置评。两天前，企业 macOS 安全公司Digita Security 的联合创始人兼首席研究官 Patrick Wardle 披露了 Mojave iOS 版本中出现的漏洞，但并未提供详情。该漏洞可导致恶意 app 从用户设备的地址簿中窃取数据，而无需获得任何权限。

基于云的身份和访问管理解决方案提供商 Duo Security 在2018年8月被思科以23.5亿美元收购。去年10月份，Duo 公司在 D 轮融资7000万美元，使其市值在当时达到11.7亿美元。

原文链接

https://www.securityweek.com/researchers-find-authentication-weakness-apples-device-enrollment-program

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。