Атака SideStepper угрожает устройствам на iOS на предприятиях

Исследователи из компании Check Point Software говорят об обнаружении уязвимости в интерфейсе Apple Mobile Device Management (MDM) на платформе iOS. Она может быть использована для получения полного контроля над устройствами. Атаки под названием SideStepper помогают взломать функции корпоративного управления и обойти систему безопасности.

Отправив ссылку на устройство, можно взять контроль над MDM, после чего устанавливать вредоносное ПО и вносить изменения в настройки. Необходимо зарегистрироваться в программе Apple Enterprise Developer и получить сертификат для подписания приложений. Далее методами социальной инженерии жертв вынуждают устанавливать приложения, показывающие настройки устройств и данные с них. Подобный метод использования сертификатов уже широко применяется в сторонних магазинах приложений для iOS. Для проверки уязвимости было создано вредоносное приложение, маскирующееся под программу iOS Newsstand. Оно позволило получить доступ к адресной книге, фотографиям и данным о местоположении.

Apple внесла в iOS 9 ряд изменений, затрудняющих атаки такого рода, в том числе более сложный процесс проверки при установке приложений. По умолчанию iOS не позволяет запускать приложения с недостоверными сертификатами, зато автоматически доверяет установленным через системы MDM программам. Между тем, интерфейс MDM в iOS 9 оказался уязвим перед атаками «человек посередине». Можно отправить новый профиль настроек через сообщение СМС, который перенаправит трафик с устройства на вредоносный прокси-сервер, позволяя отслеживать трафик MDM и самому отвечать под видом сервера MDM, используя API от Apple.

По мнению Apple, атаки такого типа не говорят о слабости системы iOS и возможны за счёт методов социальной инженерии - обмана пользователей.  Поскольку большинство обычных пользователей не используют MDM, им эта опасность не грозит, а те, кто используют, должны получить фишинговое текстовое сообщение и проигнорировать сообщение системы безопасности о вредоносном скачивании.

В 2014 году вредоносная программа Wirelurker также использовала возможности системы iOS по автоматической установке приложений на устройства на предприятиях, тогда большинство пострадавших были из Китая. Поскольку речь идёт не о программной уязвимости, а о системе распространения приложений среди корпоративных клиентов, просто закрыть проблему патчем не получится.