Home > Iphone > Scoperta SideStepper, una nuova vulnerabilità di iOS

Scoperta SideStepper, una nuova vulnerabilità di iOS

Il team mobile di Check Point Software Technologies, azienda specializzata in cybersicurezza, ha da poco annunciato di avere scoperto una nuova vulnerabilità chiamata SideStepper, in grado di introdursi nel sistema iOS sfruttando le soluzioni MDM (mobile device management), che rappresentano un accesso privilegiato, visto che non sono compresi nell’aggiornamento di sicurezza di iOS 9.

SideStepper è una vulnerabilità che permette agli hacker di scavalcare gli aggiornamenti di sicurezza di iOS 9 introdotti per tutelare gli utenti dall’installare app aziendali malevole. Questi miglioramenti richiedono all’utente di compiere diverse fasi nelle impostazioni del dispositivo per accettare il permesso di uno sviluppatore, rendendo così più difficile l’installazione casuale di un’app malevola. Tuttavia, le app aziendali installate attraverso gli MDM sono escluse da questi nuovi aggiornamenti di sicurezza. Un hacker potrebbe eseguire un hijack oppure imitare i comandi di un MDM accettato su un dispositivo iOS, inclusa l’installazione di app firmate con i permessi di uno sviluppatore, in modalità OTA. Questa esclusione permette a un hacker di saltare la soluzione di Apple creata per limitare l’installazione di app aziendali malevole.
Per prima cosa, un hacker convince l’utente a installare un profilo di configurazione malevolo su un dispositivo, sfruttando un attacco di phishing attraverso un SMS, una chat o una mail contenente un link malevolo. Una volta installato, questo profilo malevolo consente di sferrare un attacco man-in-the-middle nella comunicazione tra il dispositivo e la soluzione MDM. In seguito, l’hacker potrà così eseguire l’hijack e imitare i comandi MDM accettati da iOS, con l’eventualità di installare app aziendali in OTA.
L’annuncio è in corso di diffusione in questo momento alla conferenza Black Hat Asia 2016, Singapore.
Link all’articolo originale: Scoperta SideStepper, una nuova vulnerabilità di iOS

Source

Tag:
  1. Nessun commento ancora...
  1. Nessun trackback ancora...