Une vulnérabilité dans le programme d’enregistrement d’appareils d’Apple permet aux pirates de voler des mots de passe

La plupart des grandes entreprises préfèrent l’acheter pour le travail les smartphones et les ordinateurs d’Apple, parce qu’ils croient qu’ils sont les plus réservés par rapport aux alternatives disponibles sous les systèmes d’exploitation Android et Windows. En partie, ils ont raison, mais pas tout à fait.

1

Une vulnérabilité dans le programme d'enregistrement d'appareils d'Apple permet aux pirates de voler des mots de passe

Les chercheurs en sécurité informatique ont découvert une vulnérabilité dans l’un des services d’Apple, qui permet aux pirates de voler des mots de passe avec les appareils mac et iOS.Récemment, Apple se concentre activement sur le segment de l’entreprise. À Cupertino conclu des partenariats avec IBM, Accenture et Salesforce pour créer des applications d’entreprise. iPhone, iPad et Mac il faut utiliser avec précaution dans le segment de l’entreprise.

Une vulnérabilité a été découverte dans le programme d’enregistrement d’appareils d’Apple

Les chercheurs de Duo Security a découvert un problème dans le programme d’enregistrement d’appareils (DEP), qui permet de gérer les smartphones et les ordinateurs. La vulnérabilité permet à des pirates de voler des mots de passe de la connexion Wi-Fi gratuite et d’applications.

Le piratage se déroule en plusieurs étapes: l’enregistrement dans le système DEP suivi de l’authentification sur le serveur de gestion des appareils mobiles de l’entreprise (MDM). Ce processus est utilisé plusieurs méthodes.

Le piratage du serveur MDM

L’un des moyens les plus faciles pour les pirates — l’aide de l’ingénierie sociale pour trouver le numéro de série de l’appareil, qui est déjà enregistré dans le système de la DEP, mais n’est pas encore configuré sur le serveur de l’entreprise.

2

Comme alternative, les pirates peuvent utiliser la recherche sur le forum pour les produits de MDM, où les employés publient les numéros de série pour obtenir de l’aide. Une autre méthode consiste à utiliser l’utilitaire pour «bruteforce», qui est la méthode cyclique d’itérer sur une infinité de combinaisons de caractères choisiront les chiffres nécessaires. Après que les attaquants enregistreront un périphérique sur le serveur MDM, ils peuvent obtenir les mots de passe des applications et des réseaux Wi-Fi, qui sont utilisés dans l’entreprise.

Prudence

Comme l’explique cette méthode édition Forbes:

«L’attaquant doit enregistrer votre appareil sur le serveur MDM de la société à ce moment, comme le fera l’employé. Le numéro de série sera accepté qu’une seule fois»

Selon des chercheurs de Duo, ce n’est pas aussi difficile qu’il y paraît. Les pirates, il suffit de trouver une base de numéros de série de la technologie d’Apple, qui est fabriqué au cours des 90 derniers jours.

«Il y a des chances que se trouvera le dispositif, ce qui n’est pas étudié le processus d’inscription»

— informe le chercheur de logiciel de sécurité de James Barclay.

L’existence de la vulnérabilité ne doit pas être un motif de refus du système DEP ou MDM. Il ya plusieurs façons de prévenir de telles ruptures. Duo recommande aux entreprises d’utiliser la technologie de cryptage sur la puce, tandis que Apple peut réaliser la plus sûre méthode d’authentification.

Apple connaît le problème

Duo Security a signalé ce problème à Apple en mai de cette année. Cupertino n’ont pas réagi à la situation. James Barclay suis sûr que le problème sera corrigé prochainement.

Leave a Reply

Your email address will not be published.


*


 
f