La seguridad es uno de los puntos fuertes de iOS, la plataforma móvil de Apple, pero cada vez queda más claro que no es una fortaleza inexpugnable. Ya son varios los casos de malware dirigidos a iPhone, tanto con Jailbreak como sin Jailbreak, y ahora se suma una nueva vulnerabilidad a la lista. Su nombre es SideStepper y afecta únicamente a iPhone usados en entornos empresariales. Aprovechando que la seguridad de los dispositivos de empresa es menos restrictiva, la compañía de seguridad informática Check Point Software Technologies ha descubierto una vulnerabilidad que puede acceder a los datos del dispositivo y hasta controlarlo a distancia, la noticia nos llega desde The Verge.

Los iPhone de empresa pueden tener una configuración de seguridad distinta que permite a un gestor controlar los equipos a distancia, pero esta misma configuración es la que puede permitir un ataque por  parte de un tercero. Si tiene éxito, el resultado de SideStepper es que el atacante puede acceder a todos los datos del terminal y además podría instalar aplicaciones maliciosas haciéndose pasar por el gestor informático de la empresa a la que pertenece el dispositivo.

Algunas empresas usan una solución llamada Mobile Device Management o MDM para así poder controlar los dispositivos de sus empleados, que en este caso serían iPhone. Este sistema permite a la empresa instalar aplicaciones de forma remota en los dispositivos, pero no solo eso. Normalmente, las empresas desarrollan aplicaciones especiales para su actividad, es decir, que no se pueden encontrar en la App Store. Esto implica que las aplicaciones no son sometidas a ningún tipo de control, por lo que en caso de ataque se podrían instalar apps maliciosas sin que el usuario tenga conocimiento ni reciba ningún tipo de advertencia. A partir de ese momento, se pone en marcha un ataque man-in-the-middle, que significa que el tráfico entre ambas partes, en este caso el empleado y la empresa, es interceptado por un tercero con fines maliciosos.

La parte positiva es que es bastante complicado de conseguir. SideStepper solamente afecta a iPhone de empresa que usen algún sistema MDM, el resto de usuarios están a salvo. En el caso de cumplir con los requisitos, para que el ataque se pueda llevar a cabo es necesario caer en  un ataque phising a través de un mensaje o correo electrónico y después instalar un certificado, aceptando antes varias advertencias, por lo que es bastante difícil que un ataque de este tipo se complete. No obstante, SideStepper demuestra que las configuraciones corporativas pueden ser un arma de doble filo y abren la puerta a ataques que de otro modo serían imposibles.

The Verge ha contactado con Apple y la compañía se defiende argumentando que no es una vulnerabilidad  del sistema iOS, sino que se trata de un ataque phising que aprovecha una configuración muy concreta. Sin embargo, no es la primera vez que sucede. En 2014 ya apareció Wirelurker, una vulnerabilidad similar que afectó sobre todo a usuarios en China.

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día

I will never give away, trade or sell your email address. You can unsubscribe at any time.

Otras noticias sobre... , ,