Миллионы iPhone и iPad находятся под угрозой взлома

Новая уязвимость Исследователи Check Point обнаружили уязвимость в iOS, позволяющую злоумышленникам устанавливать на iPhone или iPad любые вредоносные приложения. Эти приложения могут: делать скриншоты, считывать нажатые на клавиатуре клавиши, включать камеру и передавать снятые фотографии на удаленный сервер, а также отправлять файлы, хранящиеся в памяти устройства. Об этом компания рассказала на конференции по безопасности Black Hat в Сингапуре. Исследователи продемонстрировали работу «дыры» на примере iOS 9.2 - прошлой версии ОС iPhone и iPad. Суть уязвимости Уязвимость SideStepper (такое название ей дали в Check Point) позволяет злоумышленникам обойти механизм, предназначенный для защиты устройств от попадания вредоносных приложений при использовании корпоративных систем управления мобильными устройствами (Mobile Device Management — MDM). При использовании системы MDM на устройстве необходимо подтвердить доверие к сертификату разработчика корпоративного приложения. Благодаря SideStepper злоумышленник может сымитировать команды MDM и «по воздуху» установить на iPhone или iPad вредоносные приложения, подписанные корпоративным сертификатом. Способ проникновения в устройство Для того чтобы воспользоваться уязвимостью, злоумышленник должен каким-либо образом заставить пользователя перейти по вредоносной веб-ссылке, которая может быть отправлена в электронном письме, мгновенном или SMS-сообщении. При прохождении по ссылке в операционную систему iOS устанавливается подготовленный хакером специальный конфигурационный профиль. http://filearchive.cnews.ru/img/cnews/2016/04/01/iphone500_c746c.jpg"> [b]В iOS обнаружена очередная серьезная уязвимость[/b] После установки профиля злоумышленник может имитировать команды системы MDM, используя атакующую технику под названием «человек посередине» (Man in the Middle — MitM), то есть путем вторжения в канал между устройством и MDM таким образом, что устройство думает, что оно связывается с подлинным сервером компании, а на самом деле — со злоумышленником. [b]Масштаб угрозы[/b] Уязвимость присутствует на миллионах iPhone и iPad, которые широко применяются в корпоративной сфере. Аналитики в основном рекомендуют обращаться владельцам устройств к специалистам в компании, которые отвечают за ИТ-инфраструктуру и безопасность, и внимательнее относиться к запросам об установке на гаджет новых приложений. [b]«Дырявость» iOS[/b] SideStepper - не первая уязвимость в операционной системе iOS, находящаяся в механизме установки корпоративных приложений. В 2014 г. исследователи Palo Alto Networks обнаружили вирус WireLurker, [url=http://www.cnews.ru/news/top/2016-03-17_novyj_virus_zarazhaet_vse_iphone_i_ipad_podryad]попадают[/url] на устройство при подключении к компьютеру через уязвимость в технологии управления цифровыми правами (Digital Rights Management — DRM), призванной бороться с распространением нелицензионного контента. [url=http://www.cnews.ru/news/top/2016-04-01_v_millionah_iphone_i_ipad_obnaruzhena_sereznaya] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/cnews/2016/04/01/iphone500_c746c.jpg">
В iOS обнаружена очередная серьезная уязвимость После установки профиля злоумышленник может имитировать команды системы MDM, используя атакующую технику под названием «человек посередине» (Man in the Middle — MitM), то есть путем вторжения в канал между устройством и MDM таким образом, что устройство думает, что оно связывается с подлинным сервером компании, а на самом деле — со злоумышленником. Масштаб угрозы Уязвимость присутствует на миллионах iPhone и iPad, которые широко применяются в корпоративной сфере. Аналитики в основном рекомендуют обращаться владельцам устройств к специалистам в компании, которые отвечают за ИТ-инфраструктуру и безопасность, и внимательнее относиться к запросам об установке на гаджет новых приложений. «Дырявость» iOS SideStepper - не первая уязвимость в операционной системе iOS, находящаяся в механизме установки корпоративных приложений. В 2014 г. исследователи Palo Alto Networks обнаружили вирус WireLurker, попадают на устройство при подключении к компьютеру через уязвимость в технологии управления цифровыми правами (Digital Rights Management — DRM), призванной бороться с распространением нелицензионного контента.
Ссылка на источник