شماره سریال محصولات اپل می‌ تواند اطلاعات حساسی را افشا کند

محققان امنیتی متوجه مشکلی در برنامه ثبت دستگاه‌های اپل سازمان‌ها و مدارس شدند که امکان سوء استفاده از اطلاعات کاربران محصولات اپل را قوت می‌بخشد.

بسیاری از سازمان‌ها به دنبال تولیدات اپل هستند؛ از کسب و کارهایی گرفته که کارمندان‌شان را به مک بوک و آیفون مجهز می‌کنند تا مدارس و دانشگاه‌هایی که برای اهداف آموزشی، آیپد (iPad) به دانش آموزان و دانشجویان می‌دهند. اپل با استفاده از برنامه ثبت دستگاه‌های اپل (Device Enrollment) راهکاری برای مدیریت و یکپارچه‌سازی تعداد زیاد دستگاه‌ها ارائه می‌دهد. این برنامه از طریق شماره سریال ثبت شده محصولات اپل تمامی آن‌ها را ردیابی و دنبال می‌کند.

کمپانی Duo Security اطلاعاتی درباره احتمال سوء استفاده از برنامه ثبت دستگاه‌های اپل را مطرح کرد. این برنامه به کاربر اجازه می‌دهد تا با واردکردن شماره سریال دستگاه، درخواست فعال‌سازی سوابق بدهد. این سوابق شامل آدرس ایمیل، شماره تماس و آدرس صاحبان دستگاه‌ها می‌شوند؛ از این‌رو کافی است که تنها شماره سریال دستگاه را داشته باشید بدین ترتیب دیگر برای دسترسی به سایر اطلاعات کار سختی پیش‌رو نخواهید داشت.

البته شرکت Duo Security دریافت که این شماره سریال‌ها توسط یک برنامه تولید می‌شوند، سپس شماره سریال‌ها درون برنامه وارد شده تا مالک دستگاه با آن شماره سریال مشخص شود و سپس تمام اطلاعات موجود در سابقه قابل رویت خواهند بود. اگر شماره سریال بدست آمده بخشی از برنامه ثبت دستگاه‌های اپل باشد اما متعلق به هیچ سازمان خاصی نباشد، می‌توان آن را برای یک دستگاه جدید ثبت کرد تا به اطلاعات اضافی مانند پسورد شبکه وای فای، اپلیکیشن‌ها و وی پی ان (VPN) دسترسی یافت.

این کمپانی خاطرنشان می‌سازد که این برنامه را منتشر نخواهد کرد اما صراحتا به ساده بودن این فرایند اشاره می‌کند و اینکه خلافکاران بالقوه به راحتی می‌توانند از روی آن کپی کنند.

اپل در اردیبهشت ماه (می) سال جاری از جریان باخبر شد اما اعلام کرد که این مسئله چندان مشکل‌ساز نبوده و امنیت کاربران به هیچ وجه تهدید نمی‌شود؛ چرا که از کارشناسان برنامه خواسته‌ تا تمهیدات لازم برای پیشگیری از چنین اقدامات سوء استفاده‌کننده‌ای را اتخاذ کنند. وقتی برنامه درخواست فعال‌سازی سوابق را می‌دهد سازمان باید علاوه بر شماره سریال، به نام کاربری و رمز عبور نیز دسترسی داشته باشد. ظاهرا بسیاری از سازمان‌ها خیلی راحت از کنار مسئله امنیت نرم افزاری می‌گذرند و بسیاری از اقدامات امنیتی خاصی استفاده نمی‌کنند.