苹果iPhone不是绝对的安全可能显示,无线密码

时间: 2018-10-03 23:50:13 作者: 管理员

9月27日,网易科技新闻,许多公司像苹果设备,是苹果公司的iPhone和Mac的一部分在安全杰出的表现。就在上周,《福布斯》杂志称,民主党全国委员会(DNC)放弃安卓,切换到iOS设备,因为人们担心黑客攻击在中期选举中。

但是苹果设备是不完美的。研究人员周四表示,他们发现了一种通过苹果产品窃取商业wi - fi和新方法的应用程序代码。他们破解了苹果的目标是帮助企业管理和保护iPhone和Mac技术。

最近以23.5亿美元收购思科安全公司二人,安全研究人员说软件漏洞的问题是,苹果的设备登记计划(DEP)开放。他们发现恶意注册管理系统设备,可以偷wi - fi密码和更多的内部商业机密。

使用苹果的开放性

虽然研究人员使用苹果的登记的技术,但iPhone制造商苹果iPhone不支持注册用户身份验证DEP.But苹果不是绝对需要用户来证明他们是谁。根据使用科技公司实名登记是否有要求。注册设备后,研究人员需要独立的移动设备管理(MDM)服务器上注册部iPhone,Mac或tvo设备。这可以保持内部的硬件,也可以存储在云计算服务的公司。

当使用苹果科技公司选择不需要身份验证,黑客们可能会发现在MDM server环境的公司,真正的设备注册DEP序列号。研究人员表示,这可能是通过员工的社会工程检索,还可以检查人们经常释放BBS的MDM产品的序列号。传统的“蛮力”的方法是可行的,电脑可以搜索所有可能的数字DEP,直到它击中正确的数量,这是一个选择最低的效率。

然后,攻击者可以使用所选注册他们的恶意设备的序列号在MDM server上,作为一个合法用户出现在目标公司的网络。据研究人员介绍,然后他们可以检索受害者业务应用程序和无线密码。

但有一个重要的警告:攻击者必须抓住法律公司工作人员在设备注册MDM server。因为MDM server每个序列号只能注册一次。

但这种可能性是,实际上仍是非常大的。本周晚些时候在布宜诺斯艾利斯举行的攻击技术Ekoparty会议期间詹姆斯巴克莱(詹姆斯·巴克利)说,黑客可以很容易地搜索所有的生产设备的序列号在过去的90天。他告诉《福布斯》杂志:“你发现还没有注册设备是绝对可行的。”

不要放弃MDM

巴克莱(Barclays)补充道:“总体来说,这并不意味着你不应该使用DEP或MDM。这些好处多服务的风险。但是苹果和客户可以采取措施来减少这种风险。”

一篇论文中,研究人员说,在最新的苹果iPhone和Mac设备,苹果可以用于设备芯片加密技术,唯一标识设备的登记DEP.They补充说,苹果也可以用在一个更强大的,强制性的认证。

巴克莱说,据报道,苹果可能的攻击方法。苹果公司没有透露是否有更新的研究。该公司在电子邮件《福布斯》指出,这些攻击苹果产品不使用任何漏洞。发言人表示,苹果的说明书对登记设备建议打开认证,建议和要求采取许多MDM提供者的安全措施。

但巴克莱认为,苹果将被更新,以防止这种攻击。“我不能代表他们计划做什么,但我相信我会做出一些改变。”