Scoperta SideStepper, una nuova vulnerabilità di iOS - iPhone Italia
Scopri le offerte di oggi BLACK FRIDAY 2017 TUTTE LE OFFERTE SU

Scoperta SideStepper, una nuova vulnerabilità di iOS

31 marzo 2016 di Giuseppe Migliorino (@GiusMigliorino)

Il team mobile di Check Point Software Technologies, azienda specializzata in cybersicurezza, ha da poco annunciato di avere scoperto una nuova vulnerabilità chiamata SideStepper, in grado di introdursi nel sistema iOS sfruttando le soluzioni MDM (mobile device management), che rappresentano un accesso privilegiato, visto che non sono compresi nell’aggiornamento di sicurezza di iOS 9.

sidestepper-iphone

SideStepper è una vulnerabilità che permette agli hacker di scavalcare gli aggiornamenti di sicurezza di iOS 9 introdotti per tutelare gli utenti dall’installare app aziendali malevole. Questi miglioramenti richiedono all’utente di compiere diverse fasi nelle impostazioni del dispositivo per accettare il permesso di uno sviluppatore, rendendo così più difficile l’installazione casuale di un’app malevola. Tuttavia, le app aziendali installate attraverso gli MDM sono escluse da questi nuovi aggiornamenti di sicurezza. Un hacker potrebbe eseguire un hijack oppure imitare i comandi di un MDM accettato su un dispositivo iOS, inclusa l’installazione di app firmate con i permessi di uno sviluppatore, in modalità OTA. Questa esclusione permette a un hacker di saltare la soluzione di Apple creata per limitare l’installazione di app aziendali malevole.

Per prima cosa, un hacker convince l’utente a installare un profilo di configurazione malevolo su un dispositivo, sfruttando un attacco di phishing attraverso un SMS, una chat o una mail contenente un link malevolo. Una volta installato, questo profilo malevolo consente di sferrare un attacco man-in-the-middle nella comunicazione tra il dispositivo e la soluzione MDM. In seguito, l’hacker potrà così eseguire l’hijack e imitare i comandi MDM accettati da iOS, con l’eventualità di installare app aziendali in OTA.

L’annuncio è in corso di diffusione in questo momento alla conferenza Black Hat Asia 2016, Singapore.

Per restare sempre aggiornato sul tema di questo articolo, puoi seguirci su Twitter, aggiungerci su Facebook o Google+ e leggere i nostri articoli via RSS. Iscriviti al nostro canale YouTube per non perderti i nostri video!

REGOLAMENTO Commentando dichiari di aver letto e di accettare tutte le regole guida sulla discussione all'interno dei nostri blog.
  • Aldo

    Basta fare attenzione a non cliccare link a caso

  • Antonio Polito

    Basta solo stare più attenti, visitare siti sicuri e non installare questi certificati che gli hacker vogliono… Purtroppo anche iOS oggi sta perdendo un po’ in sicurezza… Nessun sistema è inviolabile… C’è solo il più sicuro e il meno sicuro.

  • Luca

    Non ho capito cosa fà questo “virus”?

  • Nigel

    vi ho perso a “vulnerabilità”

    comunque, tutto questo si risolverà con iOS 9.3.1.0,5

  • StarLord

    Certo che se ricevo un link via sms/mail/chat da una persona a caso, di certo non mi metto ad aprirlo. Sarebbe come dire “ho trovato una caramella per terra, l’ho raccolta e mangiata e ora ho una malattia”.

  • Luca

    Mi hanno mandato un mail con pdf,e lo aperto dici che lo preso?

  • Delafuerte

    Io non installo MAI profili particolari per IOS (anche perchè non mi servono), anche quando sono strasicuro: problem solved!

  • Peppuccio Ravidà

    Di sicuro non hai preso il verbo avere..

  • Luca

    Grazie

  • massimo b.

    che strano da quando apple ha aperto agli sviluppatori escono fuori un sacco di falle bug e problemi di ogni genere… steve dove sei?