SideStepper%2C+nuova+vulnerabilita+per+dispositivi+aziendali+iOS
pianetacellulareit
/articoli/apple/41769_sidestepper-nuova-vulnerabilita-per-dispositivi-aziendali-i.php/amp/

SideStepper, nuova vulnerabilita per dispositivi aziendali iOS

Il team mobile research di Check Point Software Technologies, azienda specializzata in cybersicurezza, ha comunicato la scoperta di una nuova vulnerabilità, chiamata SideStepper, in grado di introdursi nei dispositivi di Apple alimentati da piattaforma iOS. Interessati sono pero’ gli utenti aziendali.

Entrando nel dettaglio, la vulnerabilità SideStepper sfrutta le soluzioni MDM (mobile device management) che rappresentano un accesso privilegiato, e permette agli hacker di bypassare gli aggiornamenti di sicurezza di iOS9 introdotti per salvaguardare gli utenti dall’installare app aziendali dannose.

La maggior parte dei proprietari di dispositivi non sono vulnerabili all’attacco, perché non usano MDM. Anche quelli che lo fanno, devono comunque compiere diverse fasi nelle impostazioni del dispositivo per dare i permessi ad uno sviluppatore, rendendo così più difficile l’installazione casuale di un’app malevola.

Anche se l’attacco è difficile che abbia successo, Sidestepper dimostra come le pratiche aziendali comuni possono aprire la porta a potenziali attacchi in iOS.

Check Point Software Technologies segnala che un hacker potrebbe eseguire un hijack oppure emulare i comandi di un Mobile Device Management accettato su un dispositivo iOS, inclusa l’installazione di app firmate con i permessi di uno sviluppatore, in modalità OTA (over-the-air). Questa esclusione consente ad un hacker di evitare la soluzione di Apple sviluppata per limitare l’installazione di app aziendali dannose.

Ecco come funziona un attacco SideStepper di successo: prima un hacker riesce a fare installare all’utente un profilo di configurazione malevolo su un dispositivo, ad esempio tramite un attacco di phishing attraverso un SMS, una chat o una mail contenente un link malevolo; poi questo profilo malevolo da’ il permetto di compiere un attacco del tipo man-in-the-middle nella comunicazione tra il dispositivo e la soluzione MDM; per finire, l’hacker puo’ eseguire l’hijack e imitare i comandi MDM accettati da iOS, con la possibilità di installare app aziendali via OTA.

Non è chiaro quanti dispositivi sono sensibili a questo attacco SideStepper, e Check Point non ha fatto una stima. Sidestepper non è il primo attacco che rende vulnerabili i dispositivi aziendali. Nel 2014, Palo Alto Networks ha scoperto un malware chiamato Wirelurker che ha sfruttato la capacità delle imprese di installare automaticamente le applicazioni evitando il processo di approvazione dell’AppStore di Apple.

Simone Ziggiotto

Recent Posts

  • -

Come posso creare facilmente una tela fotografica personalizzata online?

Uno dei più grandi paradossi dei nostri tempi è che con gli smartphone possiamo fotografare…

1 mese ago
  • -

Inail, grandi novità: in arrivo l’adeguamento del 5,4% delle rendite, ecco quando

In tanti aspettavano da tempo l'adeguamento del 5,4% delle rendite Inail: le ultime circolari dell'ente…

2 mesi ago
  • -

Digitale terrestre, la nuova lista dei canali: tutti i dettagli

Con lo switch-off dello scorso 28 agosto, che ha introdotto il nuovo digitale terrestre, è…

2 mesi ago
  • -

WhatsApp, così scopri dove si trova l’altra persona: il metodo infallibile

Sapere dove si trova un'altra persona è ora possibile grazie a WhatsApp: in pochi conoscono…

2 mesi ago
  • -

Realizzare un cappotto termico interno: materiali e passaggi da eseguire

Il cappotto termico interno è una soluzione ottimale per avere ottimi risultati in riferimento all'isolamento…

2 mesi ago
  • -

Digitale terrestre, se fai questa mossa avrai sempre tutti i canali disponibili

Basta una mossa semplice e automatica per avere sempre a disposizione tutti i canali del…

2 mesi ago