AppleのDevice Enrollment Program、弱点が指摘される 4
ストーリー by hylom
あまり一般ユーザーには関係がない話 部門より
あまり一般ユーザーには関係がない話 部門より
headless曰く、
AppleのDevice Enrollment Program(DEP)で見つかった弱点をDuo Labsが解説している(Duo Labs、調査リポート、VentureBeat、Ars Technica)。
DEPは組織で使用するiOS/macOS/tvOSデバイスをモバイルデバイス管理(MDM)へ自動登録できるようにするサービスだ。利用にはAppleやApple正規代理店がDEPに登録したデバイスが必要だが、認証にはシリアル番号のみが使われるため、パターンから生成したシリアル番号を総当り的に試すことで認証を突破できるという。認証の突破後はDEP APIを使用してデバイスプロファイルを取得可能となる。デバイスプロファイルには電話番号や電子メールアドレスといった企業の情報が含まれており、ソーシャルエンジニアリング攻撃に使われる可能性がある。
また、MDMサーバーではユーザー認証の仕組みが用意されているが必須ではない。そのため、ユーザー認証を有効にしていない組織も多いようだ。このような場合、攻撃者はシリアル番号だけでデバイスをMDMに登録し、アクセス可能な情報が制限されていなければ証明書やアプリケーション、Wi-Fiパスワード、VPNの設定などを取得できるという。
Duo Labsでは5月に問題をAppleへ報告しており、認証の強化や試行回数の制限、APIから取得できる情報の制限などを推奨したそうだ。一方、DEPを使用する組織の管理者に対してはMDMでの認証を確実に行うことや、MDMに登録されたデバイスを全面的に信用せず、アクセス可能な情報を制限することを推奨している。
なんでそこでシリアルだけにするのか。。。 (スコア:0)
なんの為のデバイス登録だよ。。。
Re: (スコア:0)
バーコードをぱっぱか読んでくだけで箱を開けないで登録可能にして、配布対象者に全作業を丸投げするためでしょ
ただ製造番号と管理番号の組とかにすりゃいい話ではある
Re: (スコア:0)
IMEIとシリアル番号でペア作ればいいのかな
なんでやらないんだろうね、本当に
Appleはサポート用に組み合わせのリスト持ってる筈だけど
# 組み合わせリストが漏洩したら、それはそれで
おもしろいこと大惨事になりそうだけどRe: (スコア:0)
漏洩したら面白いことになりそうなシリアル対応鍵リストは世の中結構有る気がする。
BCASカードのカード固有キーとカード番号とかもそうだし、
ユーザIDとセットで送金してキーもらうシェアウェアとかも似た構造といえば似た構造。
必ずしも組み合わせリストではなく、どちらかを元にしたハッシュ類な事もままあるが、
リストなのか何らかの関数なのかは大抵の場合知ることは出来ないので大抵は大差ない。
しかし検証機構がユーザサイドにあって突破されたりするとキージェネみたいな形で表に出てくる事もある。