（文章來源：中關(guān)村在線）

據(jù)悉，Apple的設(shè)備注冊(cè)計(jì)劃（DEP）有一個(gè)主要的安全漏洞，可能會(huì)將公共場(chǎng)所中的WiFi密碼、商業(yè)登陸等信息泄露，并被黑客利用。

此次漏洞主要存在于Apple設(shè)備的身份驗(yàn)證，以及Apple的DEP系統(tǒng)的淺層。由于Apple只是使用序列號(hào)將設(shè)備添加到企業(yè)的DEP中，因此黑客可以上網(wǎng)并獲取設(shè)備序列號(hào)并使用設(shè)備進(jìn)行獨(dú)立注冊(cè)。因?yàn)樾蛄刑?hào)長(zhǎng)久以來被認(rèn)為是安全信息，所以沒有散列，這也意味著任何人都可以獲得序列號(hào)。

現(xiàn)在，黑客可以使用序列號(hào)將任何設(shè)備注冊(cè)到組織的移動(dòng)設(shè)備管理（MDM）服務(wù)器，從而獲得對(duì)特權(quán)信息的訪問權(quán)限。授予訪問權(quán)限是因?yàn)榇嬖谝徊糠制髽I(yè)沒有啟用了用戶身份驗(yàn)證，Apple的文檔也沒有提及它是否需要。這導(dǎo)致許多公司認(rèn)為MDM會(huì)自動(dòng)執(zhí)行此操作。

研究人員發(fā)現(xiàn)的另一個(gè)問題是，攻擊者可以通過使用開源軟件、網(wǎng)絡(luò)攻擊或工程項(xiàng)目找到一系列商用Apple設(shè)備。由于DEP提供電話號(hào)碼和電子郵件地址等數(shù)據(jù)，因此犯罪分子可能會(huì)攻擊這些公司的服務(wù)頻道或IT團(tuán)隊(duì)。Duo Security的高級(jí)研發(fā)工程師James Barclay表示“在相關(guān)MDM服務(wù)器不強(qiáng)制執(zhí)行額外身份驗(yàn)證的配置中，惡意行為者可能會(huì)將任意設(shè)備注冊(cè)到組織的MDM服務(wù)器中?！?/p>

由于Apple不使用任何設(shè)備序列號(hào)來識(shí)別用戶，所以導(dǎo)致黑客很容易入侵企業(yè)辦公網(wǎng)絡(luò)。如果Apple要求企業(yè)堅(jiān)持將用戶身份驗(yàn)證作為一種安全方法，那么企業(yè)就會(huì)更好地保護(hù)免受網(wǎng)絡(luò)攻擊。