تعبيرية
ثغرة أمنية في برنامج تسجيل أجهزة آبل
تعاني خدمة شركة آبل لإدارة الأعمال والخدمات التعليمية، وهي عبارة عن برنامج تسجيل الأجهزة DEP، من وجود ثغرة أمنية كبيرة يمكن أن تؤثر على المؤسسات والمنظمات، بحيث لم يتم إصلاح هذه الثغرة حتى الآن بالرغم من مرور عدة أشهر على اكتشافها، ونشرت شركة Duo Security النتائج التي توصلت إليها بعد الإبلاغ عن المشكلة إلى شركة آبل بتاريخ 16 مايو/أيار، وتعتقد أنها تؤثر على كل عميل يستخدم خدمة DEP.
ويدعي تقرير Duo Security أن المصادقة الضعيفة لبرنامج DEP تمكن المهاجمين من استخدام رقم آبل التسلسلي لربط جهاز بخادم إدارة الأجهزة المحمولة في المؤسسة، بحيث يمكنه عندئذ مشاركة معلومات الملف الشخصي الحالي لبرنامج تسجيل الأجهزة، بما في ذلك أرقام الهواتف وعناوين البريد الإلكتروني، مع المهاجم.
ووفقًا لما ذكرته شركة Duo، فإن برنامج تسجيل الأجهزة DEP، وهي خدمة مجانية تقدمها آبل للسماح بإعداد الأجهزة الجديدة تلقائيًا بدءًا من التطبيقات المخصصة إلى إعدادات الشبكة الافتراضية الخاصة، يعرض المنظمات لمخاطر هجمات الهندسة الاجتماعية التي تستفيد من التفاصيل المكتسبة للوصول الكامل إلى شبكات الشركة أو المدرسة الأخرى.
ويتم استخدام ميزة برنامج تسجيل الأجهزة من شركة آبل من قبل الشركات والمؤسسات التعليمية والمؤسسات الأخرى لتقديم إمكانية الوصول للمستخدمين دون الحاجة إلى إعدادات من قبلهم، إلى جانب ربط أجهزة متعددة بخادم مركزي للإعداد ومشاركة المحتوى.
وتستخدم العديد من الشركات والمدارس والمؤسسات الأخرى التي تقوم بشراء الأجهزة بكميات كبيرة من شركة آبل خادم إدارة الأجهزة المحمولة MDM، والذي يتيح لهم إعداد الأجهزة الجديدة بالكامل مع جميع التطبيقات والإعدادات المطلوبة داخل المؤسسة.
ويمكن لميزة برنامج تسجيل الأجهزة DEP أن تمنح الأجهزة الجديدة حق الوصول الكامل دون أي شيء أكثر من الرقم التسلسلي، وهو عبارة عن تفاصيل غير خاصة يمكن نسخها من جهاز أو أن يتم إنشاؤها بشكل مصطنع بسهولة تامة، وذلك بدلاً من استخدام المصادقة الثنائية.
ويتمثل الحل البسيط لهذه المشكلة في إضافة مصادقة ثنائية إلزامية إلى برنامج تسجيل الأجهزة DEP، كما تقترح شركة Duo Security أن تضيف آبل أيضًا حدود لطلبات مصادقة الأجهزة وتقليل المعلومات التي يرسلها برنامج DEP إلى أجهزة التسجيل.
وتقترح الشركة الأمنية في الوقت الحالي على المؤسسات التي تستخدم ميزة DEP أن تطلب مصادقة إضافية على خوادم إدارة الأجهزة المحمولة الخاصة بها وأن تستخدم إستراتيجية “عدم الثقة” فيما يتعلق بمشاركة المعلومات مع الأجهزة المسجلة.
تجدر الإشارة إلى مرور أكثر من أربعة أشهر منذ إرسال شركة Duo Security تقريرها الأولي حول الثغرة إلى شركة آبل، ولكن لم يتضح بعد متى سوف يتم إصلاح هذه الثغرة الأمنية، مع الأخذ بالاعتبار أن الممارسة القياسية عند اكتشاف ثغرات أمنية تتمثل في تنبيه الشركة المسؤولة، وإتاحة 90 يومًا لإصلاح الثغرة قبل الكشف عن التفاصيل علنًا، ويمكن منح وقت إضافي في كثير من الأحيان قبل النشر علنًا إذا طلبت الشركة ذلك.