SideStepper, nuova vulnerabilita per dispositivi aziendali iOS

Il team mobile research di Check Point Software Technologies, azienda specializzata in cybersicurezza, ha comunicato la scoperta di una nuova vulnerabilità, chiamata SideStepper, in grado di introdursi nei dispositivi di Apple alimentati da piattaforma iOS. Interessati sono pero’ gli utenti aziendali.

Entrando nel dettaglio, la vulnerabilità SideStepper sfrutta le soluzioni MDM (mobile device management) che rappresentano un accesso privilegiato, e permette agli hacker di bypassare gli aggiornamenti di sicurezza di iOS9 introdotti per salvaguardare gli utenti dall’installare app aziendali dannose.

La maggior parte dei proprietari di dispositivi non sono vulnerabili all’attacco, perché non usano MDM. Anche quelli che lo fanno, devono comunque compiere diverse fasi nelle impostazioni del dispositivo per dare i permessi ad uno sviluppatore, rendendo così più difficile l’installazione casuale di un’app malevola.

Anche se l’attacco è difficile che abbia successo, Sidestepper dimostra come le pratiche aziendali comuni possono aprire la porta a potenziali attacchi in iOS.

Check Point Software Technologies segnala che un hacker potrebbe eseguire un hijack oppure emulare i comandi di un Mobile Device Management accettato su un dispositivo iOS, inclusa l’installazione di app firmate con i permessi di uno sviluppatore, in modalità OTA (over-the-air). Questa esclusione consente ad un hacker di evitare la soluzione di Apple sviluppata per limitare l’installazione di app aziendali dannose.

Ecco come funziona un attacco SideStepper di successo: prima un hacker riesce a fare installare all’utente un profilo di configurazione malevolo su un dispositivo, ad esempio tramite un attacco di phishing attraverso un SMS, una chat o una mail contenente un link malevolo; poi questo profilo malevolo da’ il permetto di compiere un attacco del tipo man-in-the-middle nella comunicazione tra il dispositivo e la soluzione MDM; per finire, l’hacker puo’ eseguire l’hijack e imitare i comandi MDM accettati da iOS, con la possibilità di installare app aziendali via OTA.

Non è chiaro quanti dispositivi sono sensibili a questo attacco SideStepper, e Check Point non ha fatto una stima. Sidestepper non è il primo attacco che rende vulnerabili i dispositivi aziendali. Nel 2014, Palo Alto Networks ha scoperto un malware chiamato Wirelurker che ha sfruttato la capacità delle imprese di installare automaticamente le applicazioni evitando il processo di approvazione dell’AppStore di Apple.