为防止遭黑客攻击 民主党全国委员会放弃Android转向iOS设备

许多企业都青睐苹果设备,此中一部分缘故原由便是苹果公司的iPhone和Mac在安然方面有着出色的体现。 就在上周,福布斯杂志走漏夷易近主党全国委员会(夷易近主党全国委员会)正在放弃Android,转而应用iOS设备,由于人们担心在中期选举中呈现黑客进击行径。

但苹果设备并不完美。 钻研职员周四声称,他们发清楚明了一种经由过程苹果的产品偷取商业Wi-Fi和利用密码的新措施。 他们破解了苹果旨在赞助公司治理和保护iPhone和Mac的技巧。

近来被思科以23.5亿美元收购的安然公司Duo Security的钻研职员称,软件破绽问题在于苹果的设备注册计划(DEP)的开放性。 他们发明,经由过程在DEP系统中注册恶意设备,可以偷取Wi-Fi密码和更多内部商业机密。

使用Apple的开放性

虽然钻研职员使用了苹果的注册技巧,但iPhone制造商苹果确凿支持在DEP上注册iPhone时的用户身份验证。 但苹果并一向对要求用户证实他们是谁。 这取决于应用技巧的公司对实名注册是否有要求。 注册iPhone设备后,钻研职员必要在自力的移动设备治理(MDM)办事器上注册在DEP上注册的iPhone,Mac或tvOS设备。 这既可以保留在硬件内部,也可以保存在公司基于云的办事中。

当应用苹果技巧的公司选择不要求身份验证时,黑客可能会找到尚未在公司的MDM办事器上设置的,真实设备的已注册DEP序列号。 钻研职员说,这可以经由过程员工的社会工程检索来获取,也可以反省人们常常宣布序列号的MDM产品论坛。 最传统的“暴力破解”措施也可行,谋略机可以在DEP上搜索所有可能的数字,直到它击中精确的数字,这是效率最低的一种选择。

[1] [2] [3]下一页

然后,进击者可以应用所选的序列号在MDM办事器上注册他们的恶意设备,并作为合法用户呈现在目标公司的收集上。 据钻研职员称,随后他们就可以检索受害者营业中的利用法度榜样和Wi-Fi密码。

然则有一个紧张的警告:进击者必须抢在合法员工之前将他们的设备注册到公司的MDM办事器上。 由于MDM办事器每个序列号只能注册一次。

但这可能性实际上照样很大年夜的。 本周晚些时刻在布宜诺斯艾利斯举行的Ekoparty会议时代提出进击技巧的詹姆斯巴克莱(James Barclay)说,黑客可以简单地搜索以前90天内临盆的所有设备的序列号。 他奉告福布斯杂志:“你找到尚未注册的设备绝对是可行的。“

不要放弃MDM

巴克莱弥补道:“总的来说,这并不料味着你不应该应用DEP或MDM。这些办事供给的好处跨越了具有的风险。但苹果和客户可以采取步伐来削减这种风险。”

在一篇论文中,钻研职员表示,在最新的苹果iPhone和Mac设备上,苹果可以在设备芯片上应用加密技巧,在注册DEP时独一识别该设备。 他们弥补说,苹果也可以采纳更强大年夜,强制性的身份验证。

巴克莱说,打击措施是在5月向苹果报道的。 苹果没有走漏是否会因钻研成果而进行任何更新。 该公司在给福布斯的电子邮件中指出,这些进击没有使用苹果产品中的任何破绽。 谈话人表示,苹果关于注册设备的阐明手册是建议开启身份验证的,许多MDM供给商建议或要求采取此类安然步伐。

上一页[1] [2] [3]下一页

但巴克莱觉得,苹果公司将进行更新以防止此类进击。 “我不能代表他们计划做什么,但我信托会做出一些改变。”

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包