SideStepper ist eine neue Schwachstelle, die für das iOS-Betriebssystem von Apple entdeckt wurde. Sie kann nur auf iPhones, iPads und iPod Touches ausgenutzt werden, die Teil des Mobile Device Management (MDM)-Programms eines Unternehmens sind.
Apple bietet großen Unternehmen die Möglichkeit, die den Mitarbeitern angebotenen Smartphones und Tablets zu verwalten, eine Software namens MDM, die alle Steuerungsfunktionen integriert, und darin befindet sich die SideStepper-Schwachstelle, die es einem Hacker ermöglicht, die volle Kontrolle über ein iDevice zu übernehmen.
Da iDevices, die Teil eines MDM-Programms sind, jede Art von Anwendungen installieren können, die der Administrator eines solchen Systems anbietet, nutzt SideStepper die Sicherheitslücke, um Benutzern den Eindruck zu erwecken, dass sie vom Administrator des MDM-Programms gesendete Anwendungen installieren.
Damit SideStepper aktiviert werden kann, muss der Benutzer zunächst die Anwendung eines Hackers installieren, ein Phishing-Angriff kann genutzt werden, um den Benutzer auszutricksen, und der Benutzer muss die von iOS bereitgestellten Warnungen bezüglich der Identität der installierten Anwendung zusammen mit a ignorieren Sicherheitsprofil.
Bei Erfolg verschafft dieser „SideStepper“-Angriff den Tätern Zugriff auf die Geräte der Opfer, einschließlich ihrer Daten, und ermöglicht ihnen die Installation schädlicher Apps. Der neue Angriff nutzt weniger strenge Softwarekontrollen für Benutzer von Unternehmensgeräten, insbesondere für diejenigen, die Mobile Device Management-Lösungen (oder MDMs) verwenden, um Apps auf ihre Telefone zu übertragen.
Das Unternehmen Apple ist sich dieser Problematik bewusst und behauptet, dass es bei Phishing-Angriffen in iOS verschiedene Sicherheitsmaßnahmen gibt, die Benutzer warnen sollen, bevor sie eine Anwendung oder ein Profil installieren, das ihre Endgeräte steuert.
Im Grunde schiebt Apple die ganze Schuld den Benutzern zu, die von Hackern dazu verleitet werden, schädliche Anwendungen und Profile zu installieren, und hat angesichts aller von ihnen angebotenen Sicherheitsmaßnahmen recht.
Dies ist ein klares Beispiel für einen Phishing-Angriff, der versucht, den Benutzer dazu zu verleiten, ein Konfigurationsprofil und dann eine App zu installieren. Dies ist keine iOS-Sicherheitslücke. Wir haben Sicherheitsmaßnahmen in iOS integriert, um Benutzer vor potenziell schädlichen Inhalten wie diesem zu warnen. Wir empfehlen unseren Kunden außerdem, nur von einer vertrauenswürdigen Quelle wie dem App Store herunterzuladen und die von uns eingerichteten Warnungen zu beachten, bevor sie sich für den Download und die Installation nicht vertrauenswürdiger Inhalte entscheiden.
Der gute Teil des gesamten Problems besteht darin, dass nur wenige Benutzer Teil des MDM-Programms eines Unternehmens sind. Normale Benutzer sind jedoch vor dieser Sicherheitslücke sicher.
