آسیب‌پذیری مهم دیوایس‌های اپل، اطلاعات شبکه‌های داخل سازمانی را به خطر می‌اندازد

محققان امنیتی موسسه Duo Labs آسیبی را در مکانیزمی مخصوص به اپل یافته اند که برای کنترل دیوایس ها به عنوان بخشی از شبکه های سازمانی مورد استفاده قرار می گیرد. این مکانیک کاملاً فراگیر است و به عنوان Mobile Device Management یا MDM شناخته می شود. MDM به کمپانی های بزرگ کمک می کند تا دستگاه های اپل را تحت مدیریت یک سرور در آورند که ادمین ها از طریق آن قادر به ارسال جوازهای رایج، اپلیکیشن ها، پسووردهای وای فای، تنظیمات وی پی ان و چیزهایی از این دست هستند؛ همگی مخصوص به شبکه همان کمپانی.

در تحقیقاتی که اخیراً منتشر شده، تیم Duo Labs از کشف یک آسیب پذیری در Device Enrollment Program یا DEP خبر داده؛ پروتکلی که از طریق آن دستگاه های اپل به سرور MDM افزوده می شوند. به صورت دقیق تر، محققان می گویند که پروسه «احراز هویت» در DEP می تواند مورد حمله هکرها قرار گیرد.

این تیم توضیح می دهد که آسیب های طراحی DEP به هکرها اجازه می دهد گام احراز هویت را فریب داده و دستگاه خود را به سرور MDM یک سازمان بیفزایند. علاوه بر این پروسه‌ی پیش از احراز هویت می تواند برای افشای اطلاعات مربوط به یک دستگاه خاص در شبکه مورد سوء استفاده قرار گیرد؛ اطلاعاتی که برای برنامه ریزی حملات بعدی کارآمد خواهد بود.

چرایی اینکه چنین حملاتی می توانند پروسه احراز هویت MDM DEP را فریب دهند به این موضوع باز می گردد که اپل تنها به شماره سریال دستگاه برای شناسایی آیفون، آیپد یا مکی که به سرور MDM افزوده می شود بسنده می کند. برخی از راهکارهای پیشنهادی محققان برای مقابله با این آسیب پذیری، طراحی مجدد کارکرد احراز هویت در DEP و MDM را شامل می شود و نیازمند تغییرات سخت افزاری هم خواهد بود، اما برخی دیگر می توانند به صورت مستقیم از سوی مشتریان و از طریق DEP اعمال شوند.

گام های لازم برای چنین کاری در گزارشی 32 صفحه ای چاپ شده است. استفاده از امضاهای رمزنگاری شده که توسط چیپ های مدرن موجود در آخرین دیوایس های اپل تولید می شوند، افزودن یک بیشینه نرخ به درخواست های رابط برنامه نویسی DEP برای جلوگیری از برداشت عظیم اطلاعات یا استفاده از قابلیت های احراز هویت مدرن مانند SAML یا Auth 2.0 به عنوان بخشی از پروسه پروتکل DEP از جمله راهکارهای پیشنهادی هستند.

malltina

مطالب مرتبط

اپل iOS 13.6.1 و iPadOS را منتشر کرد؛ رفع باگ سبز شدن نمایشگر آیفون

اپل تقریباً یک ماه پس از انتشار iOS 13.6، آپدیت 13.6.1 و همچنین iPadOS 13.6.1 را برای تمام کاربران منتشر کرد. این بروزرسانی برخی از مشکلات مربوط به نوتیفیکیشن‌های اپ ردیابی تماس کرونا (Exposure Notifications) و همچنین باگ سبز شدن نمایشگر در برخی آیفون‌ها را رفع می‌کند.اپل بروزرسانی‌های iOS 13.6.1 و iPadOS 13.6.1 را برای... ادامه مطلب

فاکسکان به خاطر جنگ تجاری آمریکا و چین زنجیره تأمین را دو قسمت می‌کند

«فاکسکان» تولید کننده اصلی محصولات اپل از تقسیم زنجیره تأمین خود بین چین و ایالات متحده خبر داد و افزود به دلیل جنگ تجاری بین این دو کشور، دوران سلطه چین بر زنجیره تأمین به سر رسیده و این کشور دیگر «کارخانه جهان» نخواهد بود.«Young Liu»، مدیرعامل فاکسکان گفت ۳۰ درصد از خطوط تولید این شرکت... ادامه مطلب

آشنایی با قابلیت‌های اپ استور ایرانی iApps [تماشا کنید]

نصب و استفاده از اپلیکیشن‌های ایرانی روی پلتفرم iOS به فرایندی پیچیده تبدیل شده و پس از تحریم‌های اپل، کاربران دیگر نمی‌توانند برنامه‌های محبوب و پرکاربرد خود را از اپ استور دانلود کنند. در این میان اپ استورهای ایرانی زیادی وارد این حوزه شده و سعی کردند با دور زدن این تحریم‌ها، روشی برای نصب... ادامه مطلب

بدافزار Agent Tesla نام‌کاربری و رمز عبور را از VPN و مرورگرها سرقت می‌کند

محققان امنیتی نسخه‌های جدیدی از بدافزار Agent Tesla کشف کرده‌اند که توانایی سرقت نام‌کاربری و رمزعبور بسیاری از اپلیکیشن‌ها از جمله مرورگرها، VPNها و کلاینت‌های ایمیل و FTP را دارند.بدافزار Agent Tesla اولین بار سال ۲۰۱۴ کشف شد و نوعی کی‌لاگر (Keylogger) است که در دو سال گذشته بین هکرها محبوب‌تر شده است. با خرید... ادامه مطلب

کوالکام FTC را در دادگاه مغلوب کرد؛ شرایط فروش انحصاری مجوزها باقی می‌ماند

سال گذشته میلادی پس از اینکه کوالکام و اپل به توافق رسیدند، کمیسیون فدرال تجارت (FTC) از مدل کسب و کار این کمپانی شکایت کرد و رای علیه آن صادر شد، با این حال این شرکت به چنین حکمی اعتراض کرد و حالا برنده دادگاه شده است.کوالکام همواره به ایجاد انحصار و فشار روی شرکت‌های دیگر... ادامه مطلب

اپل به جرم نقض پتنت به پرداخت ۵۰۶ میلیون دلار غرامت به PanOptis محکوم شد

هیئت منصفه فدرال تگزاس اخیرا اعلام کرده اپل به علت نقض پتنت‌های مربوط به شبکه 4G LTE شرکت «PanOptis»، باید ۵۰۶.۲ میلیون دلار به این کمپانی غرامت پرداخت کند.اولین بار در سال ۲۰۱۹ شرکت PanOptis از اپل در دادگاه تگزاس شکایت و آن را متهم به نقض ۷ پتنت خود درباره توانایی‌های مختلف شبکه 4G... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟