viernes, 21 de agosto de 2015

iOS se hunde en arenas movedizas

Se ha anunciado una nueva vulnerabilidad en iOS que afecta a las instalaciones y despliegues corporativos que hagan uso de sistemas MDM (Mobile Device Management) y que podría permitir el acceso a información confidencial de la compañía, como URLs de los servidores, credenciales de acceso con contraseñas en texto plano, etc.

El fallo ha sido descubierto por la compañía Appthority que fiel a la costumbre actual lo ha bautizado como Quicksand (arenas movedizas), ya que una vez más se ha conseguido evadir la seguridad de la sandbox. La violación afecta a todos los clientes MDM, así como a todas las aplicaciones móviles distribuidas a través de un MDM que usen la opción "Managed App Configuration" para establecer y almacenar toda la información y configuraciones privadas. De esta forma, cualquier otra aplicación del dispositivo, podrá acceder a la información confidencial (como las credenciales de acceso) en formato texto plano.

La mayoría de las compañías emplean un sistema MDM/EMM para administrar y controlar el acceso a datos, correo y aplicaciones corporativas en los dispositivos móviles de los empleados. De esta forma lo primero que se hace es crear una cuenta MDM para el empleado e instalar el cliente MDM en su dispositivo móvil. Desde ese momento, todas las aplicaciones corporativas, así como configuraciones y credenciales se envían a través del MDM al dispositivo.


El salto de la sandbox ocurre después de que la configuración se haya enviado al dispositivo, que quedará almacenada en "/Library/Managed Preferences/mobile/"; donde, según el informe de Appthority, cualquier otra aplicación podrá acceder a ella con el siguiente código:


La compañía muestra un ejemplo de una aplicación con identificador "com.acme.DemoApp" tendrá un archivo .plist con todos los datos (incluidas las credenciales) en texto plano.












En teoría solo podrá acceder a los datos la aplicación con el identificador correspondiente. Pero lamentablemente, todos los archivos de configuración pueden ser accesibles por cualquier otra aplicación del dispositivo. Se ha asignado el CVE-2015-5749 a esta vulnerabilidad.

La firma notificó la vulnerabilidad a Apple de forma responsable, de forma que esta vulnerbailidad ha quedado solucionada en la reciente actualización a iOS 8.4.1. Por lo que se recomienda a todas las corporaciones que hagan uso de MDM la instalación de esta versión.

Más información:

‘Quicksand’ – A New Enterprise iOS Vulnerability
https://www.appthority.com/enterprise-mobile-threats/2015/08/19/quicksand-a-new-enterprise-ios-vulnerability/

una-al-dia (18/06/2015) Cajas rotas, arena derramada
http://unaaldia.hispasec.com/2015/06/cajas-rotas-arena-derramada.html

una-al-dia (14/08/2015) Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite
http://unaaldia.hispasec.com/2015/08/actualizacion-de-multiples-productos.html




Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Etiquetas: , , ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017