La seguridad es uno de los puntos fuertes de iOS, la plataforma mรณvil de Apple, pero cada vez queda mรกs claro que no es una fortaleza inexpugnable. Ya son varios los casos de malware dirigidos a iPhone, tanto con Jailbreak como sin Jailbreak, y ahora se suma una nueva vulnerabilidad a la lista. Su nombre es SideStepper y afecta รบnicamente a iPhone usados en entornos empresariales. Aprovechando que la seguridad de los dispositivos de empresa es menos restrictiva, la compaรฑรญa de seguridad informรกtica Check Point Software Technologies ha descubierto una vulnerabilidad que puede acceder a los datos del dispositivo y hasta controlarlo a distancia, la noticia nos llega desde The Verge.
Los iPhone de empresa pueden tener una configuraciรณn de seguridad distinta que permite a un gestor controlar los equipos a distancia, pero esta misma configuraciรณn es la que puede permitir un ataque por ย parte de un tercero. Si tiene รฉxito, elย resultado de SideStepper es que el atacante puede acceder a todos los datos del terminal y ademรกs podrรญa instalar aplicaciones maliciosas haciรฉndose pasar por el gestor informรกtico de la empresa a la que pertenece el dispositivo.
Algunas empresas usan una soluciรณn llamada Mobile Device Management o MDM para asรญ poder controlar los dispositivos de sus empleados, que en este caso serรญan iPhone. Este sistema permite a la empresa instalar aplicaciones de forma remota en los dispositivos, pero no solo eso.ย Normalmente, las empresas desarrollan aplicaciones especiales para su actividad,ย es decir, que no se pueden encontrar en la App Store. Esto implica que las aplicaciones no son sometidas a ningรบn tipo de control, por lo que en caso de ataque se podrรญan instalar apps maliciosas sin que el usuario tenga conocimiento ni reciba ningรบn tipo de advertencia. A partir de ese momento, se pone en marcha un ataque man-in-the-middle, que significa que el trรกfico entre ambas partes, en este caso el empleado y la empresa, es interceptado por un tercero con fines maliciosos.
La parte positiva es que es bastante complicado de conseguir. SideStepper solamente afecta a iPhone de empresa que usen algรบn sistema MDM, el resto de usuarios estรกn a salvo. En el caso de cumplir con los requisitos, para que el ataque se pueda llevar a cabo es necesario caer en ย un ataque phising a travรฉs de un mensaje o correo electrรณnico y despuรฉs instalar un certificado, aceptando antes varias advertencias, por lo que es bastante difรญcil que un ataque de este tipo se complete. No obstante, SideStepper demuestra que las configuracionesย corporativas pueden ser un arma de doble filo y abren la puerta a ataques que de otro modo serรญan imposibles.
The Verge ha contactado con Apple y la compaรฑรญa se defiende argumentando que no es unaย vulnerabilidad ย del sistema iOS, sino que se trata de un ataque phising que aprovecha una configuraciรณn muy concreta. Sin embargo, noย es la primera vez que sucede. En 2014 ya apareciรณ Wirelurker, una vulnerabilidad similar que afectรณ sobre todo a usuarios en China.