Chương trình Device Enrollment Program của Apple có lỗ hổng bảo mật

0 Thanh Niên Online
Một lỗ hổng bảo mật trong chương trình Device Enrollment Program của Apple, được sử dụng bởi các trường học và doanh nghiệp, có thể bị sử dụng để khai thác thông tin.
Apple không cho rằng chương trình DEP của hãng có lỗ hổng /// Ảnh: Apple Apple không cho rằng chương trình DEP của hãng có lỗ hổng - Ảnh: Apple
Apple không cho rằng chương trình DEP của hãng có lỗ hổng
Ảnh: Apple
Theo Apple Insider, chương trình đăng ký thiết bị (Device Enrollment Program-DEP) là một dịch vụ do Apple cung cấp cho phép các trường học, công ty quản lý và định cấu hình thiết bị của người dùng để sử dụng trên hệ thống mạng, bao gồm cài đặt các ứng dụng và thiết lập cấu hình cụ thể mà người dùng yêu cầu trong công việc của họ. Sau khi thiết lập, các thiết bị sau đó có thể được quản lý bởi máy chủ quản lý thiết bị di động (Mobile Device Management-MDM).
James Barclay - kỹ sư thiết kế và nghiên cứu cao cấp của Duo Security và Rich Smith - giám đốc Duo Labs, đã phát hiện ra các lỗ hổng với chương trình này sau khi nhận thấy số sê-ri là tất cả những gì mà một kẻ tấn công tiềm năng cần có để lấy được các thông tin nhạy cảm.
Theo đó, bằng cách nhập số sê-ri của thiết bị đã đăng ký để yêu cầu hồ sơ kích hoạt, các nhà nghiên cứu của Duo Security đã có thể truy xuất các chi tiết như địa chỉ, số điện thoại và địa chỉ email của tổ chức. Và các thông tin này có thể được sử dụng để thực hiện cuộc tấn công kỹ thuật xã hội đối với nhân viên hoặc nhóm hỗ trợ CNTT của công ty.
Có nhiều cách để có được số sê-ri, nhưng Smith cho biết rằng mã 12 ký tự đủ đơn giản để Duo Security tạo ra một chương trình như vậy. Bởi vì các yêu cầu để có được các bản ghi kích hoạt không bị giới hạn, một kẻ tấn công tiềm năng có thể chạy các tìm kiếm mà không có bất kỳ trở ngại nào. Nếu kẻ tấn công có được số sê-ri chưa được đăng ký, họ có thể đăng ký thiết bị của họ vào hệ thống mạng và thu thập thêm thông tin, chẳng hạn như mật khẩu Wi-Fi và các ứng dụng tùy chỉnh.
Duo Security đã tiết lộ lỗ hổng này đến Apple vào ngày 16.5 vừa qua và công ty cho biết Apple đã không giải quyết vấn đề này. “Nhà táo” nói họ không coi vấn đề số sê-ri là một lỗ hổng với các sản phẩm của mình, và trích dẫn đề nghị các tổ chức áp dụng các biện pháp an ninh để hạn chế các cuộc tấn công như vậy.

Bình luận

Gửi bình luận
Ý kiến của bạn sẽ được biên tập trước khi đăng. Xin vui lòng gõ tiếng Việt có dấu
  • Tối thiểu 10 chữ
  • Tiếng Việt có dấu
  • Không chứa liên kết

Có thể bạn quan tâm

VIDEO ĐANG XEM NHIỀU

Đọc thêm

Các công nghệ mới có thể giúp người tiêu dùng chịu chi tiêu mua sắm smartphone nhiều hơn  /// Ảnh chụp màn hình PhoneArena>

Thị trường smartphone sẽ phục hồi vào năm sau

Sự ra đời của thiết kế màn hình gập lại được và mạng 5G được triển khai trên quy mô rộng vào năm 2019 có thể làm thay đổi sự phát triển của ngành công nghiệp smartphone hiện tại.
Phiên bản 17 inch sẽ mang đến cho người dùng lựa chọn màn hình lớn hơn  /// Ảnh: LG>

LG mang laptop siêu mỏng Gram mới đến CES 2019

LG vừa thông báo sẽ giới thiệu hai mẫu laptop mới thuộc dòng Gram tại sự kiện CES 2019 diễn ra trong tháng tới tại Las Vegas, Nevada (Mỹ), gồm model 17 inch (17Z990) và biến thể chuyển đổi 2-trong-1 (14T990).