（文章來源：中關村在線）

據(jù)悉，Apple的設備注冊計劃（DEP）有一個主要的安全漏洞，可能會將公共場所中的WiFi密碼、商業(yè)登陸等信息泄露，并被黑客利用。

此次漏洞主要存在于Apple設備的身份驗證，以及Apple的DEP系統(tǒng)的淺層。由于Apple只是使用序列號將設備添加到企業(yè)的DEP中，因此黑客可以上網(wǎng)并獲取設備序列號并使用設備進行獨立注冊。因為序列號長久以來被認為是安全信息，所以沒有散列，這也意味著任何人都可以獲得序列號。

現(xiàn)在，黑客可以使用序列號將任何設備注冊到組織的移動設備管理（MDM）服務器，從而獲得對特權信息的訪問權限。授予訪問權限是因為存在一部分企業(yè)沒有啟用了用戶身份驗證，Apple的文檔也沒有提及它是否需要。這導致許多公司認為MDM會自動執(zhí)行此操作。

研究人員發(fā)現(xiàn)的另一個問題是，攻擊者可以通過使用開源軟件、網(wǎng)絡攻擊或工程項目找到一系列商用Apple設備。由于DEP提供電話號碼和電子郵件地址等數(shù)據(jù)，因此犯罪分子可能會攻擊這些公司的服務頻道或IT團隊。Duo Security的高級研發(fā)工程師James Barclay表示“在相關MDM服務器不強制執(zhí)行額外身份驗證的配置中，惡意行為者可能會將任意設備注冊到組織的MDM服務器中。”

由于Apple不使用任何設備序列號來識別用戶，所以導致黑客很容易入侵企業(yè)辦公網(wǎng)絡。如果Apple要求企業(yè)堅持將用戶身份驗證作為一種安全方法，那么企業(yè)就會更好地保護免受網(wǎng)絡攻擊。