Novità per iOS, purtroppo non positive. La Check Point Software Technologies, azienda israeliana specializzata in sicurezza informatica, sembra aver trovato all'interno del sistema operativo una modalità che consente a malintenzionati di accedere a iPhone o iPad e di installare app pericolose senza la volontà dell'utente, mettendo a serio pericolo la privacy.

shutterstock_330407711

Il metodo trovato, soprannominata SideStepper,  sfrutta le funzionalità di Mobile Device Management (MDM) per installare all'interno del nostro dispositivo software indesiderato. La sicurezza del sistema viene scavalcata perché l'MDM possiede un accesso privilegiato all'installazione di app e non è sottoposto ai controlli che sono stati introdotti in iOS 9. La tecnica utilizzata è sempre quella del phishing, un semplice collegamento su cui cliccare in un email, un sms o un messaggio in chat, che installa a nostra insaputa, se si accettano o ignorano gli avvertimenti di sicurezza, un profilo di configurazione malevolo con il quale l'hacker può imitare i comandi dei sistemi di management delle app aziendali al fine di prendere il completo controllo del device senza nessun segnale per l'utente che lo utilizza.

Il rischio quindi è soprattutto per i dispositivi ad uso lavorativo su cui viene adoperato il Mobile Device Management, dove l'azienda, senza il fastidio all'utente di dover approvare ogni cosa accade sul dispositivo, è in grado di installare applicazioni professionali in automatico. Tali programmi sono spesso privati e non elencati in App Store, pertanto non subiscono nessun controllo da parte di Apple.

Malware-ios-wirelurker

L'azienda di Cupertino, contattata da The Verge, ha precisato che «questa non è una vulnerabilità di iOS, ma un esempio di phishing che tenta di ingannare l'utente al fine di indurlo ad installare un profilo di configurazione malevolo». Il consiglio che giunge da Cupertino è di scaricare app da fonti sicure come lo Store e di prestare attenzione a ciò che succede sul nostro dispositivo prima di scaricare e installare contenuti non attendibili.

Non è chiaro al momento quanti dispositivi siano sensibili a questo attacco, ma Apple non è tenuta a rilasciare una patch per questo problema di sicurezza in quanto tecnicamente SideStepper non è un malware che sfrutta specifiche vulnerabilità come fu nel caso di Wirelurker, scoperto nel lontano 2014. L'unico modo per risolvere alla radice questo tipo di attacchi sarebbe di ripensare e riprogettare la gestione di iOS per gli utenti aziendali. Con la decima versione in avvicinamento, potremmo presto avere novità in merito.