BAQUIA

Apple se niega a arreglar un nuevo y grave peligro en los iPhone

Apple admite la existencia de fallos en iOS que fuerzan un mal funcionamiento del gestor de la bateria.

La empresa de seguridad Check Point ha hecho público un grave peligro que corren los terminales iPhone y iPad de Apple con sistema operativo iOS 9 y superior (la reciente actualización iOS 9.3.1 no corrige el error). En esta ocasión, el foco del atacante se encuentra en los dispositivos empresariales, aquellos smartphones y tabletas sujetos a la administración empresarial mediante soluciones MDM (Mobile Device Management).

Esta solución es utilizada por las compañías para controlar la actividad de sus teléfonos, limitando el acceso a ciertos sitios web o a aplicaciones que no sean exclusivamente las diseñadas para la productividad, siempre a gusto del administrador con diferentes niveles de restricciones.

Sidestepper, nombre que recibe la nueva vulnerabilidad, permite a un atacante aprovecharse de las mejoras de seguridad de iOS 9 destinadas concretamente a proteger la instalación de aplicaciones empresariales maliciosas. Estas mejoras requieren que el usuario realice varios pasos en la configuración del dispositivo para confiar en un certificado de desarrollador y evitar así la instalación accidental de aplicaciones maliciosas.

Sin embargo,  para las aplicaciones corporativas instaladas utilizando una solución MDM no es necesario realizar  este proceso y de esta particularidad es de la que se hacen uso los atacantes. “Hemos descubierto que un atacante puede secuestrar e imitar los comandos MDM en un dispositivo iOS y de este modo instalar aplicaciones vía OTA (Over The Air), es decir, de forma automática, firmadas con certificado de desarrollador”, señala Mario García, director general de Check Point para España y Portugal. “Está excepción permitiría por tanto que un atacante pudiese burlar la seguridad de un dispositivo Apple para instalar una aplicación maliciosa. Estamos hablando de una brecha grave de seguridad que podría dar acceso al atacante a información corporativa sensible”.

En primer lugar, el atacante engaña al usuario mediante técnicas de phishing para instalar en el dispositivo Apple un perfil de configuración de tipo malicioso. Este método de ataque es simple y efectivo y se sirve de las plataformas de mensajería instantánea, SMS o correo electrónico para instar al usuario a pinchar en un enlace malicioso. Una vez instalado, este perfil malicioso permite que el atacante pueda realizar un ataque conocido como Man in the Middle (MitM) que falsea la comunicación entre el dispositivo y la solución MDM. El atacante puede a partir de ese momento secuestrar e imitar la solución MDM en la que confía iOS, incluyendo la capacidad de instalar las aplicaciones.

“El atacante podría capturar imágenes, escuchar conversaciones o registrar pulsaciones de teclado dejando al descubierto credenciales de acceso a aplicaciones personales y corporativas. El daño puede ser inmenso y la empresa que se viese afectada estaría en una seria coyuntura para su negocio”, destaca García.

Antes de hacer pública la vulnerabilidad, Check Point ofreció la oportunidad a Apple de solucionar el grave problema, informando a la compañía de cómo afectaba el fallo. Sin embargo, según ha contado a Baquía Eusebio Nieva, director técnico de la empresa de seguridad, Apple se negó en rotundo, explicando que así es cómo funciona el sistema de administrador de aplicaciones empresariales. Los usuarios domésticos de iPhone y iPad no tienen que temer por las consecuencias de Sidestepper, puesto que no afecta a un dispositivo que no pase por un servicio MDM.


Compartir en :


Noticias relacionadas




Comentarios