商用Apple设备存在着重大的安全漏洞

（文章来源：中关村在线）

据悉，Apple的设备注册计划（DEP）有一个主要的安全漏洞，可能会将公共场所中的WiFi密码、商业登陆等信息泄露，并被黑客利用。

此次漏洞主要存在于Apple设备的身份验证，以及Apple的DEP系统的浅层。由于Apple只是使用序列号将设备添加到企业的DEP中，因此黑客可以上网并获取设备序列号并使用设备进行独立注册。因为序列号长久以来被认为是安全信息，所以没有散列，这也意味着任何人都可以获得序列号。

现在，黑客可以使用序列号将任何设备注册到组织的移动设备管理（MDM）服务器，从而获得对特权信息的访问权限。授予访问权限是因为存在一部分企业没有启用了用户身份验证，Apple的文档也没有提及它是否需要。这导致许多公司认为MDM会自动执行此操作。

研究人员发现的另一个问题是，攻击者可以通过使用开源软件、网络攻击或工程项目找到一系列商用Apple设备。由于DEP提供电话号码和电子邮件地址等数据，因此犯罪分子可能会攻击这些公司的服务频道或IT团队。Duo Security的高级研发工程师James Barclay表示“在相关MDM服务器不强制执行额外身份验证的配置中，恶意行为者可能会将任意设备注册到组织的MDM服务器中。”

由于Apple不使用任何设备序列号来识别用户，所以导致黑客很容易入侵企业办公网络。如果Apple要求企业坚持将用户身份验证作为一种安全方法，那么企业就会更好地保护免受网络攻击。