Zakelijk gebruik van iPhone en iPad niet zo veilig als gedacht

Maar bij zakelijk gebruik van iPhones en iPads loop je meer risico, ten minste als je bedrijf daarvoor een eigen enterprise app store heeft ingericht. En die kwetsbaarheid begint bij het Mobile Device Management-interface voor iOS, claimt Check Point.

Via MDM aangeboden apps automatisch vertrouwd

Het probleem daarmee is, dat iOS automatisch apps vertrouwt die via Mobile Device Management-systemen zijn geïnstalleerd. Als een aanvaller erin slaagt zich te nestelen tussen het MDM-interface van iOS en het MDM-systeem dat in Apples opzet dus de verificatie van apps overneemt, kan hij in principe op de iPhone en iPad zetten wat hij wil, als via Apples enterprise developers program een softwae-ondertekeningscertificaat is verkregen; dat is feitelijk dezelfde methode die hackers gebruiken om hun via app stores van derden verspreide malware een officieel tintje te geven.

Daarvoor is wel enige medewerking van het doelwit nodig. De aanval lukt alleen als de aanvaller de datastroom kan omleiden via een proxy die hij onder controle heeft. Maar dat kan bijvoorbeeld via een sms'je waarin de eigenaar van het apparaat de boodschap krijgt dat er nieuwe instellingen van zijn telecomprovider te downloaden zijn, liet Check Point zien.Maar het kan natuurlijk ieder willekeurig bericht zijn dat de ontvanger verleidt om op de link te klikken.

Geen bug, vindt Apple

Apple vindt het probleem om die reden geen probleem van iOS, liet een woordvoerder weten. Het is wat Apple betreft een schoolvoorbeeld van social engineering. Die reactie minimaliseert de kans dat Apple aanvullende beveiligingsmaatregelen zal nemen.

Dat betekent dat bezitters van de iPhone en iPad, al of niet van hen zelf, waar MDM-software op draait, bijzonder op hun hoede moeten zijn met het klikken op links in berichtjes. Beheerders die medewrkers met deze apparaten servicen, doen er goed aan daar nog eens uitdrukkelijk op te wijzen.