Falla en la herramienta de Apple MDM permite acceso a información sensible

Share this…

La falta de autenticación en el Programa de Inscripción de Dispositivos de Apple permitiría a los atacantes obtener contraseñas de WiFi y configuración VPN

Según especialistas en hacking ético, las empresas que utilizan el Programa de Inscripción de Dispositivos (DEP) de Apple para la gestión de dispositivos móviles (MDM) sin agregar autenticación adicional, se encuentran en peligro de filtración de información y otros ataques informáticos.

MDM es una tecnología empresarial de uso común utilizada por las organizaciones para controlar el uso de dispositivos móviles de los empleados. Esto incluye aplicar políticas de seguridad, estandarizar actualizaciones, controlar la administración de gastos y más, todo centralizado en una plataforma. Está destinado a evitar el inconveniente de tener múltiples tipos de teléfonos y tabletas, todos con acceso a recursos corporativos, repartidos entre cientos o incluso miles de trabajadores geográficamente dispersos.

Mientras tanto, DEP es un servicio de Apple diseñado para facilitar la inscripción de dispositivos iOS, macOS y tvOS en MDM. A diferencia de los métodos de implementación tradicionales, que requieren que el usuario final o el administrador tomen medidas para configurar un dispositivo e inscribirlo manualmente en un servidor MDM, DEP permite a los administradores automatizar el proceso.

Esta investigación de especialistas en hacking ético encontró que DEP sólo requiere un número de serie para inscribir un dispositivo en el servidor MDM de una organización, lo que significa que un atacante podría inscribir un dispositivo no autorizado en el sistema. Ese dispositivo, a su vez, sería tratado como un punto final privilegiado, lo que permitiría al atacante recolectar información importante sobre la organización.

“Si el número de serie está registrado en DEP y el servidor MDM no requiere autenticación adicional durante la inscripción, un atacante podría inscribir un dispositivo de su elección en el servidor MDM de una organización falsificando un número de serie legítimo registrado en DEP”, explicó James Barclay, uno de los encargados de la investigación.

Una vez que se inscribe un dispositivo, este se trata como un dispositivo “confiable” para la organización, y se puede usar para acceder a información confidencial, como certificados de dispositivos y usuarios, datos de configuración de VPN, y muchos otros datos considerados como información sensible.

“La capacidad de inscribir un dispositivo en el servidor MDM de una organización puede tener consecuencias importantes, permitiendo acceso a los recursos privados de una organización o incluso el acceso VPN completo a los sistemas internos”, dijo el equipo de investigación en una publicación.

Sólo hay un impedimento para los posibles atacantes; deben iniciar la inscripción en DEP antes de que lo haga el usuario legítimo, ya que DEP solamente acepta el número de serie una vez para cada dispositivo. Eso reduce el margen de tiempo para el ataque, ya que un agente malicioso tendría que inscribir un dispositivo antes de que la organización lo haya inscrito.

Por su parte, Apple mencionó que no considera esta como una vulnerabilidad, además de que en su documentación ya recomienda que las empresas apliquen la autenticación de usuario o limiten el acceso en la configuración preliminar.

Según reportan especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, la solución para esta debilidad es implementar requisitos adicionales para la autenticación en el servidor MDM, para que la inscripción de dispositivos no esté basada únicamente en los números de serie.