Já falamos aqui algumas vezes sobre o Device Enrollment Program (DEP), programa da Apple para empresas que compram Macs em atacado e permite que esses computadores sejam configurados automaticamente assim que se conectam a uma rede Wi-Fi pela primeira vez — os servidores da Maçã simplesmente verificam o número de série da máquina e automaticamente aplicam nela as configurações selecionadas pela empresa, instalando ainda todos os aplicativos requeridos.
Todo esse processo, bem como a manutenção remota posterior desses Macs, se faz possível por meio do servidor Mobile Device Management (MDM), que a empresa em questão mantém para administrar os computadores entregues aos seus funcionários. Mas, de acordo com uma pesquisa da Duo Research, esse programa pode ter uma brecha de segurança bem importante.
Os pesquisadores descobriram que hackers podem obter um número de série válido para ter acesso ao MDM e, com isso, acessar vários dados sigilosos da empresa e dos seus funcionários como emails, telefones, endereços ou até mesmo dados de acesso a redes VPN1Virtual private network, ou rede privada virtual. (o que, teoricamente, permitiria que os invasores inclusive alterassem propriedades dessas redes para afetar a operação de empresas inteiras).
O problema começa com o fato de que a Apple oferece a opção de autenticar o MDM com um nome de usuário e senha personalizados, mas parte das empresas opta por ignorar esse recurso de segurança — ou seja, somente com um número de série válido, é possível se passar por uma máquina registrada no DEP e ter acesso a todos os dados listados acima.
Para obter um número de série válido, uma boa quantidade de métodos pode ser implementada: os hackers podem se passar por empregados da área de TI da empresa e conseguir o número diretamente de um funcionário, por exemplo, ou ainda criar um gerador de números de série — esses códigos são gerados sequencialmente e, conseguindo alguns deles, é possível gerar um padrão que dará aos invasores um leque de possibilidades para simular a posse de um Mac inscrito no programa.
Claro que, ainda assim, não estamos falando de um ataque fácil de ser realizado: os hackers teriam que ter posse do número de série de um Mac já registrado no programa, mas ainda não ativado — isso porque, uma vez que o Mac é ativado no MDM, seu código deixa de ser válido. Ainda assim, é um risco que as empresas devem levar em conta no momento de optar pelo programa da Apple.
Os pesquisadores comunicaram a Maçã sobre o problema em maio passado, mas a Apple não disse se está fazendo algo em relação a ele. Em comunicado à Forbes, a empresa afirmou que a vulnerabilidade não está em seus produtos e que a recomendação é que as empresas utilizem todos os métodos de autenticação disponíveis para reforçar sua segurança. Ainda assim, seria legal da parte de Cupertino tomar alguma atitude em relação a isso — como tornar a autenticação por login e senha obrigatórios, por exemplo.
Veremos se a instância da Apple permanecerá dessa forma ou se a empresa fará alguma coisa para corrigir a vulnerabilidade.
via Cult of Mac
Notas de rodapé
- 1Virtual private network, ou rede privada virtual.