Sajátos helyzetbe került az Apple: a Check Point szerint épp az ad lehetőséget a támadásra, ami a vállalati mobil appok biztonságát szolgálná. A sebezhetőséget ugyanis épp a mobil eszközmenedzsment rendszereken keresztül lehet kiaknázni.

Az App Store más a vállalatoknak

Az Apple alapesetben csak saját, hivatalos App Store alkalmazásboltjából engedélyezi a különféle mobil eszközökre történő szoftvertelepítést. Az alkalmazásboltba azonban csak szigorú ellenőrzési procedúra után kerülhetnek fel az appok, aminek az az eredménye, hogy az iOS rendszerű eszközöket lényegesen kevesebb kártékony alkalmazás támadja meg, mint például az androidosokat.

A Check Point szakértői azonban – mint azt a Biztonságportál is írja – megtalálták a rést a pajzson. A szigorú ellenőrzési mechanizmus ugyanis bizonyos pontokon megkerülhető. A probléma a vállalati iOS-es alkalmazásokkal van.

A vállalatokra ugyanis bizonyos esetekben más szabályok vonatkoznak: nem kell feltétlenül az App Store-on keresztül publikálniuk belső alkalmazásaikat. Ilyenkor az adott alkalmazás nem is esik át a szokásos ellenőrzésen, és tisztaságát csak az garantálja, hogy a publikáló vállalatnak el kell látnia megfelelő digitális tanúsítványokkal a szoftvert.

Támadás az MDM-en keresztül

Csakhogy a digitális tanúsítványokkal vissza lehet élni. Az iOS 9-től az Apple ezért további megkötések is bevezetett az Apple Developer Enterprise Program keretében fejlesztett alkalmazások terjesztésére és telepítésére. A visszaélések ugyanis szerepet kaptak jailbreakelésben, a kártékony programok terjesztésében, sőt kémkedésben – ezt mutatta meg többek között a Hacking Team és FinFisher botránya. A szigorításokkal ezonban a vállalatok speciális alkalmazáspublikálási lehetősége nem szűnt meg. Az ilyen esetekben a cégek ún. MDM (Mobile Device Management) alkalmazásokat is bevonnak a telepítésbe és a felügyeletbe.

Az MDM technológiák megkönnyítik a vállalati hálózatokhoz, rendszerekhez kapcsolódó eszközök ellenőrzését, felügyeletét. Lehetőséget adnak például szoftvertelepítésre, távoli törlésre, zárolásra stb. Ez azonban a Check Point kutatói szerint egy további támadási felületet nyit. Bár konkrétan nem nevezték meg, de megvizsgáltak néhány MDM-technológiát, és azt vették észre, hogy ezeken keresztül a felügyeltnek vélt alkalmazástelepítési folyamatok manipulálhatóvá válhatnak ún. közbeékelődéses támadásokkal (MitM – Man-in-the-Middle).

A kutatók SideStepper névre keresztelték azt a sebezhetőséget, melynek kihasználásakor a támadók közbeékelődéses technikákkal le tudják hallgatni az MDM és a mobil eszközök közötti adatforgalmat. És ha ez sikerül, akkor a biztonsági rés miatt manipulálhatóvá válnak az MDM rendszer felől érkező utasítások, amiket aztán például az iPhone-ok szó nélkül végrehajtanak.

A kutatók szerint ilyenkor ártalmas kódokat lehet feltölteni a készülékre, de egyéb nemkívánatos tevékenységeket is el lehet végezni. Az elkövető például egy manipulált iOS konfigurációs profil segítségével feltelepíthet egy root tanúsítványt, majd átirányítja a készülék adatforgalmát egy általa felügyelt szerverre.

A Check Point szerint az ilyen támadások veszélyes elsősorban olyan végponti, azaz a mobil eszközökre telepített védelmi megoldásokkal csökkenthető, melyek felismerik az ártalmas kódokat, alkalmazásokat.

Volt már gond a Store ellenőrzésével

Nem ez az első eset, amikor az App Store ellenőrzési mechanizmusa okoz biztonsági problémát. Tavaly ősszel fedezték fel a KeyRaider malware-t, melynek segítségével több mint 200 ezer Apple-fiók bejelentkezési adatait lopták el.

Míg a KeyReader csak a jailbreakelt Apple-eszközöket veszélyeztette, pár héttel később jött egy újabb botrány, amely már az alkalmazásbolt reputációját veszélyeztette: több ezer fertőzött, károkozásra is lehetőséget adó alkalmazást találtak az Apple Store-jában. A támadók – ismerve a szigorú ellenőrzési mechanizmust – nem az alkalmazásokon keresztül támadtak, hanem az iOS-alkalmazások fejlesztéséhez használt Xcode csomagot manipulálták, hogy az azzal készített legális alkalmazások kémkedésre alkalmas plusz funkciókat kapjanak.