Gestohlenes iPad, MDM-geschützt (Relution) - Rücksetzung auf Werkszustand möglich?

[DJMadMax]

Heyho liebe Forengemeinde,

mein Arbeitgeber betreibt mehrere tausende iPads, welche alle per MDM über Relution gesteuert werden. Relution ist dabei nichts anderes als die Administrationsmöglichkeit, eben um die iPads gegen Fremdzugriff zu sperren, Administrationsrechte zu entziehen und so weiter.

Nun kam es zu einem Diebstahl eines iPads. Das Gerät wurde per Fernwartung gesperrt - sobald es nun also eingeschaltet und im Datennetz betrieben wird, läuft das Gerät automatisch in eine Bildschirmsperre mit der Aufforderung, das Gerät bei der nächsten Polizeidienststelle abzugeben.

Meine Frage hierbei lautet nun:
Kann ein solches, per MDM/Relution gesperrtes Gerät dennoch vom Dieb in einen Werkszustand zurückgesetzt werden? Bei Android-Geräten ist das ja meines Wissens durchweg möglich (per USB/ADB).

Wenn es nämlich NICHT möglich ist, dann frage ich mich sowieso, wieso solche Geräte aus Unternehmensumfeldern gestohlen werden. Andernfalls bringt ja auch die aus der Ferne aktivierte Displaysperre nichts.

Ich würde mich freuen über Rückmeldungen.

Vielen Dank im Voraus

 

[schallundrauch]

Find ich interessant. Da klink ich mich mal ein und lese mit

 

[Fujiyama]

Im Zweifel werden ganz gerne die Einzelteile verhökert. Generell soll aber das Applesystem sehr sicher sein, hab nur von Einzelfällen gehört das die Geräte entsperrt wurden (Ob das aber tatsächlich stimmt konnte ich nicht verifizieren)

 

[DFFVB]

Also afaik geht das nicht, wenn es richtig konfiguriert wurde. Zumindest fordert einen selbst Apple dazu auf "Find my phone" zu deaktivieren, bevor man es zur Reparatur einschickt. Gleiches gilt wenn es verkauft wird... einfach zurücksetzen reicht nicht.

 

[Jasmin83]

Kommt drauf an welches iOS drauf läuft. Läuft ein älteres für das ein Jailbreak existiert kann man bei einigen iPads die Sperre löschen, kann es dann aber nur Jailbreaked benutzen, sobald man wieder ohne Jailbreak rein will ist es weiterhin gesperrt. Die Teile lassen sich nicht mehr aktivieren, es sei denn der Apple ID besitzer lässt es zu.

Was also fehlt ist die iOS Version und das iPad Modell.

 

[kartoffelpü]

Wenn es nämlich NICHT möglich ist, dann frage ich mich sowieso, wieso solche Geräte aus Unternehmensumfeldern gestohlen werden. Andernfalls bringt ja auch die aus der Ferne aktivierte Displaysperre nichts.

Entweder Diebe gehen davon aus, dass längst nicht alle Firmengeräte MDM-geschützt sind, oder derjenige wusste schlicht nicht, dass es da Hürden geben kann. Soll ja Gelegenheitsdiebe geben, die sich nicht auskennen.

Und zum Schutz aufheben: Da Apple es kann, kann es natürlich auch sein, dass findige Leute es irgendwie geschafft haben, das System zu umgehen.

 

[ergibt Sinn]

Wenn es nämlich NICHT möglich ist, dann frage ich mich sowieso, wieso solche Geräte aus Unternehmensumfeldern gestohlen werden.

Wie sicher ist es denn dass das iPad gestohlen wurde?
Der Mitarbeiter, seine Kinder, Bekannter, sonst wer könnte das Gerät auch verloren, verlegt oder beschädigt haben und um die Schuld von sich zu weisen gibt man an das Gerät sei gestohlen worden.

Oder es wurde eben von einem 0815 Gelegenheitsdieb gestohlen der keine Ahnung von den Sicherheitsvorkehrungen der Hersteller hat.

 

[DFFVB]

Da Apple es kann

Wie sicher ist das?

https://support.apple.com/en-us/HT201557

 

[Chesterfield]

der aufwand ( immens) und die apple vorkehrungen machen es wirtschaftlich unmöglich ( technisch aber geht es sicher , wenn jemand vom fach ist) .

wenn es kein ipad ist welches um die lokalen daten geht dann wird sich niemand die mühe machen es zu "entsperren". denk sisplay akku usw werden in einzelteilen verkauft wenn Profit im vordergrund

 

[holdes]

Da ich bei uns ebenfalls Relution EMM einsetze und genau das eingerichtet habe und administriere kann ich dir das im Grunde erklären. Es hängt schlichtweg davon ab, ob die Admins in ihrer Richtlinie angegeben haben ob das iPad sich per USB überhaupt mit irgendeinem Rechner verbinden lässt, welcher nicht ein bestimmtes Zertifikat installiert hat. Wird diese Option genutzt kann jemand das Teil gar nicht erst versuchen zurückzusetzen, es würde am PC gar nicht angezeigt werden.

Sollte diese Option nicht gesetzt sein, könnte man es zwar zurücksetzen, kommt aber dann trotzdem nicht weiter sofern das Gerät über den Apple Business Manager im DEP Programm angemeldet ist. Bei jedem zurücksetzen wird der Apple Server beim neu einrichten abgefragt und die Richtlinien entsprechend gedownloadet und angewandt. So ein Gerät zu klauen macht keinen Sinn außer man bräuchte Ersatzteile oder verkauft es an ahnungslose Leute weiter. Im Lost Mode ist dann auch für die Admins eine Ortung grundsätzlich möglich.

 

[DFFVB]

Insgesamt ist das aber seit ein paar Jahren so, und mich würde es auch interessieren, ob Diebstähle dadurch weniger wurden...

 

[DJMadMax]

Was also fehlt ist die iOS Version und das iPad Modell.

Es geht um iPad Air-Modelle seit 2019, es werden eigentlich immer die aktuellsten Geräte eingesetzt und es wird auch stets die aktuellste Firmware ausgerollt.

Wie sicher ist es denn dass das iPad gestohlen wurde?

Ganz sicher - der Ortingsdienst gibt irgend einen kleinen Ort in Rumänien an.

wenn es kein ipad ist welches um die lokalen daten geht dann wird sich niemand die mühe machen es zu "entsperren". denk sisplay akku usw werden in einzelteilen verkauft wenn Profit im vordergrund

Die Daten sind unkritisch, vermutlich bleibt dann wirklich nur noch das Verwerten in Einzelteilen. Louis Rossmann-mäßig das Gerät zerlegen und an einzelnen Datenleitungen eines Chips Spannung anlegen, um eventuelle Sicherheitsbereiche zu umgehen/zurückzusetzen werden vermutlich wirklich nur die allerwenigsten Gelegenheitsdiebe draufhaben.

 

[SSD960]

Muss das Display nach dem Wechsel nicht aktiviert werden? Das ist, so glaube ich, nicht so einfach zu verwenden.

 

[DJMadMax]

@holdes
Vielen Dank, das trifft es eigentlich perfekt auf den Punkt

 

[Korben2206]

Wenn es nämlich NICHT möglich ist, dann frage ich mich sowieso, wieso solche Geräte aus Unternehmensumfeldern gestohlen werden. Andernfalls bringt ja auch die aus der Ferne aktivierte Displaysperre nichts.

Ich finde die Antwort eigentlich offensichtlich: Unwissenheit.
Vorrausgesetzt deine Annahme stimmt, landen die gestohlenen iPdads dann im Müll oder als Ersatzteilspender irgendwo im Markt.

 

[SSD960]

Aber nur die Geräte mit der Lücke im Bootmanager. Oder?

 

[yxcvb]

Das sind alles Idioten. Die schauen Filme und Serien, dort sind die Geräte sind entweder alle entsperrt, oder falls doch mal ein Schutz da ist, tippt der zuständige Polizeihacker dreimal in die Tastatur und das Gerät ist offen.

Und wenn das jemand klaut, um die Einzelteile zu verkaufen, kann es sich nur um Banden handeln, die das in großem Stil machen. Der normale Feld, Wald und Wiesenjunkie bekommt das nicht hin, noch dazu dauert es, bis man Geld hat.

Es werden versendete iPhones geklaut, die IMEI ist beim Versender registriert (so kenne ich es von Amazon). Was will man damit? Du kannst noch nicht mal ein anderen Phone zurücksenden, weil die IMEI nicht stimmt. Und wenn das als gestohlen gemeldet wird, dann ist das auch innerhalb kurzer Zeit gesperrt - das kann man gar nicht in Betrieb nehmen.

Und ja, ja, IMEI kann man ändern. Wer denn? Kann das hier tatsächlich jemand? Oder kennt einer einen, der das kann? Und ja, es gibt tatsächlich eine israelische Firma, die alle Apple-Geräte knacken kann. Allerdfings nur bis zum nächsten Sicherheitsupdate, dann heißt es auf eine neue Programmversion warten. Und diese Firma verkauft nicht an Privatleute, sondern nur an Regierungen (nicht immer nur die guten)

 

[=dantE=]

Es werden versendete iPhones geklaut, die IMEI ist beim Versender registriert (so kenne ich es von Amazon). Was will man damit? Du kannst noch nicht mal ein anderen Phone zurücksenden, weil die IMEI nicht stimmt. Und wenn das als gestohlen gemeldet wird, dann ist das auch innerhalb kurzer Zeit gesperrt - das kann man gar nicht in Betrieb nehmen.

[Edit] hab ich gelöscht. Bin auf blöde Ideen gekommen 😬

 

[holdes]

Am Ende nutzen diese Tools (sofern sie überhaupt funktionieren) die üblichen Jailbreak Lücken. Sind für Gerät XY aber noch keine bekannt oder kommen auch gar nicht können sie gar nichts tun. Ob das überhaupt etwas nutzt sei aber mal dahingestellt. Sobald ein iOS Gerät gejailbreakt ist (oder die Richtlinie nicht anwendet), bekommt man im MDM sowieso direkt entsprechend Infos darüber und könnte (sofern es ein eigener Mitarbeiter war) mal ein entsprechendes Gespräch führen.

Die grundsätzliche Frage die man sich als Firma erstmal stellt wäre ja auch eher: Kommt das Gerät weg und kann vllt. irgendwann in irgendeiner Form geknackt werden um es weiter zu verkaufen oder versucht jemand an Daten heranzukommen die dort drauf sind und gelingt ihm das? Ein reiner Geräteverlust ohne Daten zu verlieren wird wohl für die meisten Firmen weniger ein Problem darstellen.

 

[kartoffelpü]

Wie sicher ist das?

Nicht besonders sicher :-/
Kann sein, dass ich das nur mit der normalen Accountbindung verwechselt habe. Die kann Apple entfernen, wenn man einen Kaufnachweis des Gerätes hat.