Das Device Enrollment Program, kurz DEP, gibt es, um mobile Apple Geräte, die in Unternehmen und Bildungseinrichtungen usw. verwendet werden, zu verwalten. DEP ist ein kostenloser Service von Apple. Mit dem Service können mobile Geräte für iOS, MacOS und tvOS-Geräte registriert werden. Besonders Unternehmen und Organisationen nutzen diesen Service, um interne Gerätebestände zu verwalten.

Bereits im Mai haben zwei Forscher eine recht kritische Sicherheitslücke entdeckt. James Barclay von Duo Security und Rich Smith von Duo Labs entwickelten verschiedene Tools, um eine beliebige 12-stellige Seriennummer von Apple-Geräten zu generieren. Mit einer noch unregistrierten Seriennummer, die aber zu einem für eine Registrierung vorgemerkten Apple Gerät passt, konnten sie dann ihr Gerät im DEP anmelden. Einmal angemeldet konnten sie auf andere Zugangsdaten für WLAN oder Apps zugreifen.

Laut den beiden Forschern können Angreifer außerdem nur mit einer einzigen Apple-Geräteseriennummer das Gerät dann zum Diebstahl von Daten anderer via DEP angemeldeter Apple-Geräte nutzen. Nach Ansicht der Forscher sei die DEP-Authentifizierungsschwäche das Problem. Apples Mobile Device Management-Protokoll unterstützt vor einer MDM-Registrierung zwar eine recht starke Benutzerauthentifizierung, nutzt sie aber nicht, laut Smith und Barcley. Dadurch wird es zugelassen, Geräteseriennummern anstelle von sichereren Alternativen zu verwenden. Diese Vorgehensweise sei nicht vollends durchdacht. Es sei bekannt, das Seriennummern durch Verwendung eines recht bekannten Schemas erzeugt werden können, so Smith und Barcley. Damit sind sie eigentlich vorhersagbar und, so argumentieren die Forscher:

„Diese Seriennummern wurden außerdem nie herausgegeben, um geheim gehalten zu werden. In der Vergangenheit sind Datenbanken mit Seriennummern bereits entwendet und missbraucht worden“,

bestätigten sie. Cybergauner bräuchten diese nun nicht einmal, denn gültige Apple-Seriennummern können offenbar erzeugt werden, bevor sie überhaupt getestet wurden. Es kann dann erkannt werden, ob sie über Programmierschnittstellen mit dem DEP registriert sind über eine Art Brute-Force-Angriff. Smith und Barcley wiesen auch noch darauf hin, dass Apple als Sicherheitsmaßnahme wenigstens die Eingabe von Seriennummern limitieren könnte. Außerdem könnte Apple stärkere Authentifizierungsmaßnahmen implementieren im DEP-Registrierungsprozess, durch moderne Authentifizierungsprotokolle, wie SAML vs OIDC. Immerhin geht es hier um Mobilgeräte-Management-Server für Unternehmen, an denen eine Menge Endgeräte angebunden sind.

MDM wird von Unternehmen verwendet, um die Nutzung mobiler Geräte durch die Mitarbeiter zu verwalten. Die Umsetzung von Sicherheitsrichtlinien, Standardisierung von Updates, die Steuerung des Ausgabenmanagements und vieles mehr wird über eine zentrale Plattform verwaltet. Angebunden werden können theoretisch unendlich viele Geräte in aller Welt.

Apple nahm sich der Sache zwar an nachdem Smith und Barcley ihren Fund Mitte Mai an das Unternehmen gemeldet. Erstaunlicherweise sahen die Sicherheitsexperten dort aber keinen Grund aktiv zu werden – es sei kein Fehler, hieß es. Weiter: „Die Dokumentation empfiehlt bereits, dass Unternehmen Benutzerauthentifizierung anwenden oder den Zugriff auf die vorläufige Konfiguration einschränken.“ Smith und Barcley sahen das anders und veröffentlichten ihre Forschungsergebnisse daher für alle auf der Ekoparty Conference in Buenos Aires, Argentinien, Ende September.

Artikel von theregister.co.uk. 27.09.2018: Looking after the corporate Apple mobile fleet? Beware: MDM onboarding is ‚insecure‘
Artikel von threatpost.com, 27.09.2018: Weakness in Apple MDM Tool Allows Access to Sensitive Corporate Info

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0