محققان امنیتی متوجه مشکلی در برنامه ثبت دستگاههای اپل سازمانها و مدارس شدند که امکان سوء استفاده از اطلاعات کاربران محصولات اپل را قوت میبخشد.
بسیاری از سازمانها به دنبال تولیدات اپل هستند؛ از کسب و کارهایی گرفته که کارمندانشان را به مک بوک و آیفون مجهز میکنند تا مدارس و دانشگاههایی که برای اهداف آموزشی، آیپد (iPad) به دانش آموزان و دانشجویان میدهند. اپل با استفاده از برنامه ثبت دستگاههای اپل (Device Enrollment) راهکاری برای مدیریت و یکپارچهسازی تعداد زیاد دستگاهها ارائه میدهد. این برنامه از طریق شماره سریال ثبت شده محصولات اپل تمامی آنها را ردیابی و دنبال میکند.
کمپانی Duo Security اطلاعاتی درباره احتمال سوء استفاده از برنامه ثبت دستگاههای اپل را مطرح کرد. این برنامه به کاربر اجازه میدهد تا با واردکردن شماره سریال دستگاه، درخواست فعالسازی سوابق بدهد. این سوابق شامل آدرس ایمیل، شماره تماس و آدرس صاحبان دستگاهها میشوند؛ از اینرو کافی است که تنها شماره سریال دستگاه را داشته باشید بدین ترتیب دیگر برای دسترسی به سایر اطلاعات کار سختی پیشرو نخواهید داشت.
البته شرکت Duo Security دریافت که این شماره سریالها توسط یک برنامه تولید میشوند، سپس شماره سریالها درون برنامه وارد شده تا مالک دستگاه با آن شماره سریال مشخص شود و سپس تمام اطلاعات موجود در سابقه قابل رویت خواهند بود. اگر شماره سریال بدست آمده بخشی از برنامه ثبت دستگاههای اپل باشد اما متعلق به هیچ سازمان خاصی نباشد، میتوان آن را برای یک دستگاه جدید ثبت کرد تا به اطلاعات اضافی مانند پسورد شبکه وای فای، اپلیکیشنها و وی پی ان (VPN) دسترسی یافت.
این کمپانی خاطرنشان میسازد که این برنامه را منتشر نخواهد کرد اما صراحتا به ساده بودن این فرایند اشاره میکند و اینکه خلافکاران بالقوه به راحتی میتوانند از روی آن کپی کنند.
اپل در اردیبهشت ماه (می) سال جاری از جریان باخبر شد اما اعلام کرد که این مسئله چندان مشکلساز نبوده و امنیت کاربران به هیچ وجه تهدید نمیشود؛ چرا که از کارشناسان برنامه خواسته تا تمهیدات لازم برای پیشگیری از چنین اقدامات سوء استفادهکنندهای را اتخاذ کنند. وقتی برنامه درخواست فعالسازی سوابق را میدهد سازمان باید علاوه بر شماره سریال، به نام کاربری و رمز عبور نیز دسترسی داشته باشد. ظاهرا بسیاری از سازمانها خیلی راحت از کنار مسئله امنیت نرم افزاری میگذرند و بسیاری از اقدامات امنیتی خاصی استفاده نمیکنند.