Duo：蘋果遠端裝置管理服務DEP含有驗證缺陷

資安業者Duo Security本周披露，蘋果的裝置註冊計畫（Device Enrollment Program，DEP）含有驗證缺陷，將允許駭客以暴力破解法取得DEP裝置的檔案，或是在企業中的行動裝置管理（MDM）伺服器上註冊任何裝置。

DEP為蘋果替企業所打造的免費服務，可自動於企業的行動裝置管理（ Mobile Device Management）伺服器上註冊蘋果裝置，包括iOS、macOS或tvOS裝置，簡化企業於內部部署及配置蘋果裝置的流程。

Duo資深安全研究人員James Barclay指出，他們發現要取得一個蘋果裝置的DEP檔案只需要該裝置的序號，該檔案可揭露擁有該裝置的企業資訊，因此，假設企業的MDM伺服器在註冊流程中沒有要求額外的使用者身分驗證，那麼駭客還能擅自註冊自己的裝置，進而接收企業的各種憑證、應用程式、Wi-Fi密碼或VPN配置等。

這是因為在導入DEP時，於註冊之前只要利用裝置序號就能進行服務的驗證，雖然蘋果的MDM協定支援使用者的身分驗證，但並非強制要求，意味著有些企業可能只使用序號來保護裝置註冊。

有鑑於裝置序號並未被視為機密資訊，因此很容易在網路上找到，再加上序號通常有特定的架構，並不難猜測，允許駭客利用暴力破解來找出企業中的註冊裝置。

Duo是在今年5月將此一缺陷提報給蘋果，看起來蘋果並未修補。Barclay強調，DEP對於要大量部署蘋果裝置的企業而言仍是個有價值的工具，就算含有驗證缺陷仍然瑕不掩瑜；他建議蘋果應加強裝置的驗證，限制輸入錯誤的次數及所回覆的企業資訊，也建議任何採用DEP的企業應於MDM伺服器上強制執行身分驗證。