Уязвимость системы Apple облегчает хакерам доступ к корпоративным сетям

При этом никакими специальными знаниями злоумышленнику обладать не требуется.

Речь идёт об уязвимости в программе регистрации устройств Apple – DEP, который используется в системе для автоматической конфигурации новых устройств с уже имеющимися от пользовательских приложений до настроек VPN. Для этого необходимо знать только серийный номер изделия. В этом состоит основная проблема, которая облегчает доступ для хакеров. Для подключения к корпоративным или школьным сетям программа запрашивает действительный серийный номер устройства Apple. Многие сети считают этого достаточным для безопасности и предпочитают не использовать логин и пароль. Любой злоумышленник может без труда получить настоящий номер, позвонив владельцу и под предлогом аудита или контроля качества гаджета узнать заветные цифры.
Вторая уловка хакеров сложнее, но и опаснее. Взломщикам хорошо известно, что серийные номера предсказуемы и выстраиваются с использованием хорошо знакомой для них схемы. Поэтому, они могут сгенерировать номер и представить его как настоящий. Если сетевой сервер не использует дополнительную аутентификацию, то злоумышленник может зарегистрироваться в корпоративной сети и получить доступ к персональным данным или закрытой информации. Эксперты сетуют на медлительность службы поддержки Apple, которые долго рассматривают поступившие жалобы и в результате дают совет установить дополнительную проверку подлинности.