Des chercheurs en sécurité disent avoir trouvé une faille dans iOS impliquant le système de gestion de flottes d'appareils (MDM) qui est utilisé en entreprise. En faisant installer une application malveillante à l'utilisateur, le malfrat peut ensuite prendre le contrôle de la configuration MDM de l'appareil, selon Check Point Software.
Par défaut, iOS n'autorise pas l'installation d'applications qui n'ont pas de certificats valides. En revanche, les appareils enrôlés dans un MDM se montrent moins pointilleux sur ce point, puisque c'est l'administrateur du MDM qui est censé vérifier en amont les applications installables en dehors de l'App Store.
L'attaque commence par l'envoi d'un SMS à la victime pour qu'elle installe un nouveau profil de configuration. Une fois ce profil en place, le malandrin peut se placer entre l'utilisateur et l'administrateur du MDM, et ainsi faire installer d'autres applications malveillantes et accéder aux données de l'appareil.
Dans un communiqué transmis à Ars Technica, Apple minimise le problème et rappelle quelques bonnes pratiques :
Il s'agit d'une illustration parfaite d'une attaque par phishing qui tente de tromper l'utilisateur en lui faisant installer un profil de configuration puis une application. Ce n'est pas une vulnérabilité d'iOS. Nous avons mis en place dans iOS des garde-fous qui préviennent l'utilisateur des contenus potentiellement dangereux comme celui-ci. Nous encourageons nos clients à télécharger uniquement des apps à partir de sources sûres, comme l'App Store, et à prêter attention aux messages de sécurité.
