SideStepper est une nouvelle vulnérabilité découverte pour le système d'exploitation iOS d'Apple, elle ne peut être exploitée que sur les iPhones, iPads et iPod Touch qui font partie du programme de gestion des appareils mobiles, MDM, d'une entreprise.
Apple offre aux grandes entreprises la possibilité de gérer les smartphones et tablettes proposés aux employés, un logiciel appelé MDM intégrant toutes les fonctions de contrôle, et dedans se trouve la vulnérabilité SideStepper qui permet à un pirate informatique de prendre le contrôle total d'un iDevice.
Étant donné que les iDevices qui font partie d'un programme MDM peuvent installer tout type d'applications proposées par l'administrateur d'un tel système, SideStepper utilise la vulnérabilité pour donner aux utilisateurs l'impression qu'ils installent des applications envoyées par l'administrateur du programme MDM.
Pour que SideStepper soit activé, l'utilisateur doit d'abord installer une application pirate, une attaque de phishing peut être utilisée pour tromper l'utilisateur, et l'utilisateur devra ignorer les avertissements fournis par iOS concernant l'identité de l'application installée ainsi qu'un profil de sécurité.
En cas de succès, cette attaque « SideStepper » permet aux auteurs d'accéder aux appareils des victimes, y compris à leurs données, ainsi que le pouvoir d'installer des applications malveillantes. La nouvelle attaque profite de contrôles logiciels moins rigoureux pour les utilisateurs d'appareils d'entreprise, en particulier ceux qui utilisent des solutions de gestion des appareils mobiles (ou MDM) pour diffuser des applications sur leurs téléphones.
La société Apple est consciente de ce problème et affirme que pour les attaques de phishing, il existe dans iOS diverses mesures de sécurité destinées à avertir les utilisateurs avant d'installer une application ou un profil qui contrôle leurs terminaux.
Fondamentalement, Apple rejette toute la faute sur les utilisateurs qui se laissent tromper par les pirates informatiques pour installer des applications et des profils malveillants et a raison, compte tenu de toutes les mesures de sécurité qu'ils proposent.
Il s'agit d'un exemple clair d'attaque de phishing qui tente d'inciter l'utilisateur à installer un profil de configuration, puis à installer une application. Il ne s'agit pas d'une vulnérabilité iOS. Nous avons intégré des mesures de protection dans iOS pour avertir les utilisateurs de contenus potentiellement dangereux comme celui-ci. Nous encourageons également nos clients à télécharger uniquement à partir d'une source fiable comme l'App Store et à prêter attention aux avertissements que nous avons mis en place avant de choisir de télécharger et d'installer du contenu non fiable.
L'avantage du problème est que peu d'utilisateurs font partie du programme MDM d'une entreprise, les utilisateurs ordinaires sont à l'abri de cette vulnérabilité.
