Apples Device Enrollment Program anfällig für Brute-Force-Angriffe

Apples Device Enrollment Program (DEP), das von Unternehmen und Bildungseinrichtungen für die Verwaltung von MacBooks, iPhones und iPads benutzt wird, hat eine schwerwiegende Sicherheitslücke. Entdeckt wurde sie von James Barclay, Senior Research and Design Engineer bei Duo Security, und Rich Smith, Director von Duo Labs. Ein Angreifer benötigt offenbar nur die Seriennummer eines Apple-Geräts, um vertrauliche Daten von anderen angemeldeten Geräten auszulesen.

Details der Schwachstelle präsentierten die beiden Sicherheitsforscher gestern auf einer Sicherheitskonferenz im argentinischen Buenos Aires. Sie waren in der Lage, nur durch Eingabe einer Seriennummer eines per DEP verwalteten Geräts Daten wie die Anschrift der Organisation, Telefonnummer und E-Mail-Adresse auszuspähen.

Die zwölfstelligen Seriennummern von Apple-Produkten generierten die beiden Forscher mithilfe eines selbst entwickelten Tools. Da das Eingabefeld für die Anmeldung eines neuen Geräts beim Device Enrollment Program keine Einschränkungen kennt, könnte ein Angreifer eine korrekte Seriennummer per Brute-Force-Angriff erraten.

Mit der Seriennummer eines noch nicht registrierten, aber für die Registrierung vorgesehenen Geräts konnten die Forscher aufgrund des Bugs ihr eigenes Gerät beim Device Enrollment Program anmelden. Danach erhielten sie Zugriff auf weitere Daten wie WLAN-Passwörter und spezielle Apps.

Gegenüber Apple legten die Forscher die Anfälligkeit am 16. Mai offen. Das Unternehmen aus Cupertino bestätigte Bericht bereits am 17. Mai. Allerdings sieht Apple die Schwachstelle nicht als Fehler an. Es gebe bereits die Empfehlung, bei der Anmeldung neuer Geräte neben der Seriennummer auf die Anmeldedaten eines Nutzers abzufragen. Die Forscher weisen darauf hin, dass bisher kein Fix für das Problem vorliegt.