（文章來源：中關(guān)村在線）

據(jù)悉，Apple的設(shè)備注冊計劃（DEP）有一個主要的安全漏洞，可能會將公共場所中的WiFi密碼、商業(yè)登陸等信息泄露，并被黑客利用。

此次漏洞主要存在于Apple設(shè)備的身份驗(yàn)證，以及Apple的DEP系統(tǒng)的淺層。由于Apple只是使用序列號將設(shè)備添加到企業(yè)的DEP中，因此黑客可以上網(wǎng)并獲取設(shè)備序列號并使用設(shè)備進(jìn)行獨(dú)立注冊。因?yàn)樾蛄刑栭L久以來被認(rèn)為是安全信息，所以沒有散列，這也意味著任何人都可以獲得序列號。

現(xiàn)在，黑客可以使用序列號將任何設(shè)備注冊到組織的移動設(shè)備管理（MDM）服務(wù)器，從而獲得對特權(quán)信息的訪問權(quán)限。授予訪問權(quán)限是因?yàn)榇嬖谝徊糠制髽I(yè)沒有啟用了用戶身份驗(yàn)證，Apple的文檔也沒有提及它是否需要。這導(dǎo)致許多公司認(rèn)為MDM會自動執(zhí)行此操作。

研究人員發(fā)現(xiàn)的另一個問題是，攻擊者可以通過使用開源軟件、網(wǎng)絡(luò)攻擊或工程項(xiàng)目找到一系列商用Apple設(shè)備。由于DEP提供電話號碼和電子郵件地址等數(shù)據(jù)，因此犯罪分子可能會攻擊這些公司的服務(wù)頻道或IT團(tuán)隊(duì)。Duo Security的高級研發(fā)工程師James Barclay表示“在相關(guān)MDM服務(wù)器不強(qiáng)制執(zhí)行額外身份驗(yàn)證的配置中，惡意行為者可能會將任意設(shè)備注冊到組織的MDM服務(wù)器中?！?/p>

由于Apple不使用任何設(shè)備序列號來識別用戶，所以導(dǎo)致黑客很容易入侵企業(yè)辦公網(wǎng)絡(luò)。如果Apple要求企業(yè)堅(jiān)持將用戶身份驗(yàn)證作為一種安全方法，那么企業(yè)就會更好地保護(hù)免受網(wǎng)絡(luò)攻擊。