SideStepper este o noua vulnerabilitate descoperita pentru sistemul de operare iOS al companiei Apple, ea putand fi exploatata doar pe iPhone, iPad si iPod Touch-urile care care fac parte dintr-un program de Mobile Device Management, MDM, al unei companii.
Apple le ofera marilor companii posibilitatea de a administra smartphone-urile si tabletele oferite angajatilor, un software numit MDM avand incorporate toate functiile de control, iar in el exista vulnerabilitatea SideStepper care ii permite unui hacker sa preia control total asupra unui iDevice.
Avand in vedere ca iDevice-urile care fac parte dintr-un program MDM pot instala orice fel de aplicatii pe care adminsitratorul unui asemenea sistem i le ofera, SideStepper se foloseste de vulnerabilitate pentru a le genera utilizatorilor impresia ca instaleaza aplicatii trimise de adminsitratorul programului MDM.
Pentru ca SideStepper sa poata fi activata, utilizatorul trebuie sa instaleze mai intai o aplicatie a hackerilor, un atac de tip phishing putand fi folosit pentru a pacali utilizatorul, iar acesta va trebui sa ignore avertismentele oferite de iOS cu privire la identitatea aplicatiei pe care o instaleaza impreuna cu un profil de securitate.
When successful, this “SideStepper” attack gives perpetrators access to victims’ devices, including their data, as well as the power to install malicious apps. The new attack takes advantage of less rigorous software controls for corporate device users, particularly those who use Mobile Device Management solutions (or MDMs) to get apps delivered to their phones.
Compania Apple este constienta de aceasta problema si sustine ca pentru atacurile de tip phishing exista diverse masuri de securitate in iOS care au menirea de a avertiza utilizatorii inainte de a a instala o aplicatie sau un profil care sa le controleze terminalele.
Practic Apple arunca toata vina la utilizatorii care sunt prostiti de hackeri sa instaleze aplicatii si profiluri malitioase si are dreptate, avand in vedere toate masurile de securitate oferite de catre ei.
This is a clear example of a phishing attack that attempts to trick the user into installing a configuration profile and then installing an app. This is not an iOS vulnerability. We’ve built safeguards into iOS to help warn users of potentially harmful content like this. We also encourage our customers to download from only a trusted source like the App Store and to pay attention to the warnings that we’ve put in place before they choose to download and install untrusted content.
Partea buna a intregii probleme este ca putini utilizatori fac parte din programul MDM al unei companii, utilizatorii obisnuiti fiind feriti de aceasta vulnerabilitate.
