SideStepper
E’ stato scoperto un nuovo malware, chiamato “SideStepper”, che sfrutta le soluzioni di MDM e colpisce i dispositivi mobili aziendali con sistema operativo iOS.

I ricercatori di Check Point, un’azienda specializzata in sistemi di cybersicurezza, hanno scoperto la presenza di una nuova minaccia di malware che potrebbe colpire i dispositivi mobili aziendali con sistema operativo iOS, come iPhone e iPad. Questa presunta vulnerabilità si chiama “SideStepper” e sfrutta le soluzioni MDM, che implementano la gestione dei dispositivi mobili.

A partire da iOS 9, Apple ha cercato di rafforzare i livelli di sicurezza rendendo più difficili i potenziali attacchi degli hacker. E avrebbe scelto di farlo impedendo agli utenti di installare sul proprio device delle applicazioni non autorizzate, recanti una code-signing rubata. Tuttavia, il colosso statunitense avrebbe dimenticato di chiudere una porta molto importante: quella che dà accesso alla manomissione del protocollo utilizzato per la gestione dei dispositivi mobili.

In occasione della conferenza “BlacK Hat Asia“, che si terrà nella giornata di venerdì 1 aprile 2016, i ricercatori della “Check Point Software Technologies” dimostreranno come, spesso, la comunicazione tra prodotti MDM (“Mobile Device Menagement“) e i dispositivi iOS venga esposta ai “dirottamenti degli hacker”, favorendo l’installazione di malware o software in grado di causare danni all’apparecchio.

Agire contro i dispositivi iOS è molto semplice, soprattutto per SideStepper. Di solito, la tecnica usata è quella relativa al phishing, che fornisce un link su cui cliccare attraverso la ricezione di un’e-mail, un sms o un messaggio di chat. Molte azioni di hackeraggio vengono rese possibili mediante i certificati code-signing rubati, in genere ottenuti attraverso Apple Depevoler Enterprise Program: un programma che consente alle aziende di distribuire applicazioni interne senza dover, necessariamente, renderle disponibili e pubbliche nell’App Store che, al contrario, è uno strumento accessibile a tutti gli utenti.

Secondo Michael Shaulov, responsabile della gestione mobile dei prodotti di Check Point, nonostante Apple abbia deciso di potenziare i livelli di sicurezza, la modalità – in cui le applicazioni dei prodotti MDM vengono installate sul device – sarebbe rimasta la stessa. Questa caratteristica avrebbe permesso ai ricercatori di Check Point di giungere alla conclusione che i dispositivi mobili a rischio siano proprio quelli aziendali perché utilizzano un server MDM per controllare, configurare e cancellare i device mobili dei dipendenti.

Pertanto, l’hacher può appropriarsi del server MDM e spingere un’applicazione dannosa, recante un code-signing illegittimo. Sul display dell’iPhone o dell’iPad potrebbe essere visualizzata una richiesta di conferma per installare un’app. E, malgrado l’utente possa scegliere eventualmente di rifiutare, all’hacker resta comunque la possibilità di inviare, infinite volte, tale richiesta impedendo al proprietario di utilizzare l’apparecchio. Alla fine, l’utente sarà costretto ad accettare e, ignaro dell’attacco, attiverà il virus.

L’uso improprio dei certificati di impresa non è raro. Michael Shaulov ha rivelato che una scansione, effettuata su circa 5 mila dispositivi iOS, avrebbe messo in luce oltre 150 certificati falsificati per dispositivi mobili aziendali. Molti di questi erano stati rilasciati ad alcune società della Cina dalla stessa Apple. In una fase successiva, tali applicazioni legittime erano state prese dagli hacker, modificate e trasformate in “versioni pirata” davvero pericolose: due di queste appartenevano, persino, a famiglie di malware assai note.