SideStepper er en ny sårbarhed opdaget for Apples iOS-operativsystem, den kan kun udnyttes på iPhones, iPads og iPod Touches, der er en del af en virksomheds Mobile Device Management, MDM, program.
Apple tilbyder store virksomheder muligheden for at administrere de smartphones og tablets, der tilbydes medarbejderne, en software kaldet MDM, der inkorporerer alle kontrolfunktionerne, og i den er der SideStepper-sårbarheden, der gør det muligt for en hacker at tage fuld kontrol over en iDevice.
I betragtning af at iDevices, der er en del af et MDM-program, kan installere enhver form for applikationer, som administratoren af et sådant system tilbyder, bruger SideStepper sårbarheden til at give brugerne indtryk af, at de installerer applikationer sendt af administratoren af MDM-programmet.
For at SideStepper kan aktiveres, skal brugeren først installere en hackers applikation, et phishing-angreb kan bruges til at narre brugeren, og brugeren bliver nødt til at ignorere advarslerne fra iOS vedrørende identiteten af applikationsinstallationen sammen med en sikkerhedsprofil.
Når det lykkes, giver dette "SideStepper"-angreb gerningsmændene adgang til ofrenes enheder, inklusive deres data, samt magten til at installere ondsindede apps. Det nye angreb drager fordel af mindre strenge softwarekontroller til brugere af virksomhedsenheder, især dem, der bruger Mobile Device Management-løsninger (eller MDM'er) til at få apps leveret til deres telefoner.
Apple-firmaet er opmærksom på dette problem og hævder, at der til phishing-angreb er forskellige sikkerhedsforanstaltninger i iOS, der er beregnet til at advare brugere, før de installerer en applikation eller en profil, der styrer deres terminaler.
Dybest set lægger Apple al skylden på brugere, der bliver narre af hackere til at installere ondsindede applikationer og profiler, og det har ret i betragtning af alle de sikkerhedsforanstaltninger, de tilbyder.
Dette er et tydeligt eksempel på et phishing-angreb, der forsøger at narre brugeren til at installere en konfigurationsprofil og derefter installere en app. Dette er ikke en iOS-sårbarhed. Vi har indbygget sikkerhedsforanstaltninger i iOS for at hjælpe med at advare brugere om potentielt skadeligt indhold som dette. Vi opfordrer også vores kunder til kun at downloade fra en pålidelig kilde som App Store og til at være opmærksom på de advarsler, vi har indført, før de vælger at downloade og installere indhold, der ikke er tillid til.
Den gode del af hele problemet er, at få brugere er en del af en virksomheds MDM-program, almindelige brugere er sikre fra denne sårbarhed.
