苹果远端装置管理服务DEP含有验证缺陷

　　安全业者DuoSecurity本周披露，苹果的装置注册计划（DeviceEnrollmentProgram，DEP）含有验证缺陷，将允许骇客以暴力破解法取得DEP装置的档案，或是在企业中的行动装置管理（MDM）服务器上注册任何装置。

　　DEP为苹果替企业所打造的免费服务，可自动于企业的行动装置管理（MobileDeviceManagement）服务器上注册苹果装置，包括iOS、macOS或tvOS装置，简化企业于内部部署及配置苹果装置的流程。

　　Duo资深安全研究人员JamesBarclay指出，他们发现要取得一个苹果装置的DEP档案只需要该装置的序号，该档案可揭露拥有该装置的企业资讯，因此，假设企业的MDM服务器在注册流程中没有要求额外的用户身分验证，那么骇客还能擅自注册自己的装置，进而接收企业的各种凭证、应用程式、Wi-Fi密码或V**配置等。

　　这是因为在导入DEP时，于注册之前只要利用装置序号就能进行服务的验证，虽然苹果的MDM协定支援用户的身分验证，但并非强制要求，意味着有些企业可能只使用序号来保护装置注册。

　　有鉴于装置序号并未被视为机密资讯，因此很容易在网络上找到，再加上序号通常有特定的架构，并不难猜测，允许骇客利用暴力破解来找出企业中的注册装置。

　　Duo是在今年5月将此一缺陷提报给苹果，看起来苹果并未修补。Barclay强调，DEP对于要大量部署苹果装置的企业而言仍是个有价值的工具，就算含有验证缺陷仍然瑕不掩瑜；他建议苹果应加强装置的验证，限制输入错误的次数及所回覆的企业资讯，也建议任何采用DEP的企业应于MDM服务器上强制执行身分验证。