Tietoturvayhtiö Check Point paljasti iOS-käyttöjärjestelmästä löytämänsä haavoittuvuuden, joka koskettaa miljoonia iPhone-puhelimien ja iPadien käyttäjiä.
Uusi tietoturvauhka tunnetaan nimellä SideStepper. Haavoittuvuus mahdollistaa ohjelmien latautumisen puhelimeen sovelluskaupan ohi MDM-hallintaohjelmaa käyttäen.
Tietoturvayhtiö kertoo, että haavoittuvuus uhkaa miljoonia iPhonen ja iPadin käyttäjiä.
Haavoittuvuus ilmentyy siten, että hyökkääjä lähettää käyttäjälle vahvistuslinkin sisältävän tekstiviestin tai sähköpostin. Linkkiä klikkaamalla laitteelle asentuu konfiguraatioprofiili, joka käyttäjän on hyväksyttävä. Hyökkääjä pystyy näin lataamaan käyttäjän laitteella haluamiaan sovelluksia.
Yleiset puhelimeen ladatut sovellukset voivat esimerkiksi ottaa kuvakaappauksia käyttäjän tärkeistä tiedoista, varastaa kirjautumistietoja, lähettää käyttäjän dataa hyökkääjälle tai kontrolloida kameraa ja mikrofonia, jolloin hyökkääjä voi tallettaa ääntä ja kuvia.
Käyttäjän kannalta haavoittuvuutta on hankala havaita, jos laitetta ei ole suojattu viruksia skannaavalla ohjelmalla. Koska hyökkääjä välittää käyttäjälle viestejä luotetun MDM-hallintaohjelman nimissä, käyttäjän voi olla vaikea havaita ongelmaa.
Digitodayn haastatteleman Check Pointin mobiilijohtajan mukaan Applea on tiedotettu haavoittuvuudesta jo lokakuun 11. päivä viime vuonna. Applen kerrotaan vastanneen kiittäen tietoturvayhtiön tekemään ilmoitukseen, muttei ole vielä korjannut haavoittuvuutta.
