2016-4-04
A Sidestepper pode ser utilizada para instalar aplicações maliciosas em dispositivos empresariais iPhone e iPad geridos através de soluções MDM (Mobile Device Management)
A vulnerabilidade foi descoberta pela Check Point, que revela que, além de instalar aplicações maliciosas, o Sidestepper permite a um atacante aproveitar-se dos melhoramentos de segurança do iOS 9 destinados a proteger a instalação de aplicações empresariais maliciosas. Estes melhoramentos requerem que o utilizador realize vários passos na configuração do dispositivo para confiar num certificado de programador e evitar, assim, a instalação acidental de aplicações maliciosas.
Porém, no que diz respeito às aplicações empresariais instaladas utilizando uma solução MDM não é necessário realizar este processo e é desta particularidade que os atacantes se aproveitam. “Descobrimos que um atacante pode sequestrar e imitar os comandos MDM num dispositivo iOS e, deste modo, instalar aplicações via OTA (Over The Air), ou seja, de forma automática, assinadas com certificado de programador”, explica Rui Duro, Sales manager da Check Point para Portugal. “Esta exceção permitiria, portanto, que um atacante contornasse a segurança de um dispositivo Apple para instalar uma aplicação maliciosa. Estamos a falar de uma falha grave de segurança que pode dar acesso ao atacante a informação empresarial sensível”.
Para realizar os ataques, os criminosos enganam o utilizador através de técnicas de phishing de modo a conduzi-lo à instalação de um perfil de configuração malicioso no dispositivo.
Este método de ataque é simples e eficaz e serve-se das plataformas de mensagens instantâneas, SMS ou email para levar o utilizador a clicar num link malicioso. Uma vez instalado, este perfil malicioso permite que o atacante possa realizar um ataque conhecido como Man in the Middle (MitM) que falseia a comunicação entre o dispositivo e a solução MDM. O atacante pode, a partir desse momento, sequestrar e imitar a solução MDM em que o iOS confia, incluindo a capacidade de instalar as aplicações.
“O atacante pode capturar imagens, ouvir chamadas ou registar as teclas pressionadas no teclado, deixando a descoberto credenciais de acesso a aplicações pessoais e empresariais. O estrago pode ser imenso e a empresa que afetada ficaria numa posição muito complicada para o seu negócio”, sublinha Rui Duro. “O conselho que daríamos aos utilizadores ou colaboradores que se queiram proteger desta vulnerabilidade é, antes de tudo, falar com a sua empresa, para que implemente uma solução de segurança móvel que detete e detenha ameaças móveis avançadas o utilizar uma solução pessoal de segurança móvel capaz de monitorizar comportamentos maliciosos no dispositivo”.
