アップルのビジネスおよび学問的デバイス管理サービスであるデバイス登録プログラム(DEP)は、組織に影響を与える可能性のある重大なセキュリティ上の問題を抱えていますが、発見後数ヵ月間パッチが当てられていません。 デュオのセキュリティ この問題を5月16日にAppleに報告した後、今日調査結果を発表し、DEPサービスを使用するすべての顧客に影響を与えると考えています。
Duoの報告によると、DEPの弱い認証は、攻撃者がアップルのシリアル番号を使用してデバイスをモバイルデバイス管理サーバーに接続し、攻撃者に電話番号や電子メールアドレスなどの既存のDEPプロファイル情報を共有する可能性があると主張している。 Duoによると、DEPは組織を「悪意のあるデバイス」と社会のエンジニアリング攻撃の両方の可能性にさらし、詳細な情報を活用してネットワークにアクセスします。
アップルのDEPは、エンタープライズ、教育機関、およびその他の組織によって、構成やコンテンツの共有のために複数のデバイスを1つの中央サーバーにリンクして、ユーザーにゼロタッチ設定を提供するために使用されます。 シンプルさという名前で、DEPは、新しいデバイスに、シリアル番号(デバイスからコピーするか、人為的に非常に簡単に作成できる非公開の詳細なもの)だけで完全なアクセスを与えることができます。
シンプルな解決策は、DEPに二要素認証を必須とすることですが、アップルはデバイス認証要求のレート制限を追加し、DEPによって登録者のデバイスに返送される情報を削減することを示唆しています。 当面、DEPを使用している組織では、モバイルデバイス管理サーバーで追加の認証が必要であり、登録されたデバイスと情報を共有するための「ゼロトラスト」戦略を想定しています。
AppleへのDuoの最初の報告が同社によって認められてから4ヶ月以上が経過しているので、セキュリティホールがいつ修正されるかは不明である。 デュオは明日のEkoparty Security Conferenceでその調査結果を公に発表する予定です。