SideStepper är en ny sårbarhet som upptäckts för Apples iOS-operativsystem, den kan endast utnyttjas på iPhones, iPads och iPod Touches som ingår i ett företags Mobile Device Management, MDM, program.
Apple erbjuder stora företag möjligheten att hantera de smartphones och surfplattor som erbjuds anställda, en mjukvara som kallas MDM som innehåller alla kontrollfunktioner, och i den finns SideStepper-sårbarheten som gör att en hackare kan ta full kontroll över en iDevice.
Med tanke på att iDevices som ingår i ett MDM-program kan installera alla typer av applikationer som administratören av ett sådant system erbjuder, använder SideStepper sårbarheten för att ge användarna intrycket att de installerar applikationer som skickas av administratören av MDM-programmet.
För att SideStepper ska aktiveras måste användaren först installera en hackers applikation, en nätfiskeattack kan användas för att lura användaren, och användaren måste ignorera varningarna från iOS angående identiteten för applikationsinstallationen tillsammans med en säkerhetsprofil.
När den lyckas ger den här "SideStepper"-attacken förövare tillgång till offrens enheter, inklusive deras data, samt möjligheten att installera skadliga appar. Den nya attacken drar fördel av mindre rigorösa programvarukontroller för företagsanvändare, särskilt de som använder Mobile Device Management-lösningar (eller MDM) för att få appar levererade till sina telefoner.
Apple-företaget är medvetet om detta problem och hävdar att det för nätfiskeattacker finns olika säkerhetsåtgärder i iOS som är avsedda att varna användare innan de installerar en applikation eller en profil som styr deras terminaler.
I grund och botten lägger Apple all skuld på användare som luras av hackare att installera skadliga applikationer och profiler och har rätt, med tanke på alla säkerhetsåtgärder som erbjuds av dem.
Det här är ett tydligt exempel på en nätfiskeattack som försöker lura användaren att installera en konfigurationsprofil och sedan installera en app. Detta är inte en iOS-sårbarhet. Vi har byggt in skyddsåtgärder i iOS för att varna användare för potentiellt skadligt innehåll som detta. Vi uppmuntrar också våra kunder att endast ladda ner från en pålitlig källa som App Store och att vara uppmärksam på varningarna som vi har infört innan de väljer att ladda ner och installera otillförlitligt innehåll.
Den goda delen av hela problemet är att få användare är en del av ett företags MDM-program, vanliga användare är säkra från denna sårbarhet.
