Se
ha anunciado una
nueva vulnerabilidad en iOS que afecta a las instalaciones y despliegues
corporativos que hagan uso de sistemas MDM (Mobile Device Management) y que podría permitir el acceso a información confidencial
de la compañía, como URLs de los servidores, credenciales de acceso con
contraseñas en texto plano, etc.
El fallo ha sido descubierto por la
compañía Appthority que fiel a la costumbre actual lo ha bautizado como
Quicksand (arenas movedizas), ya que una vez más se ha conseguido evadir
la seguridad de la sandbox. La violación afecta a todos los clientes MDM,
así como a todas las aplicaciones móviles distribuidas a través de un MDM que
usen la opción "Managed App
Configuration" para establecer y almacenar toda la información y configuraciones
privadas. De esta forma, cualquier otra aplicación del dispositivo, podrá
acceder a la información confidencial (como las credenciales de acceso) en
formato texto plano.
La mayoría de las compañías emplean
un sistema MDM/EMM para administrar y controlar el acceso a datos, correo y aplicaciones
corporativas en los dispositivos móviles de los empleados. De esta forma lo
primero que se hace es crear una cuenta MDM para el empleado e instalar el
cliente MDM en su dispositivo móvil. Desde ese momento, todas las aplicaciones
corporativas, así como configuraciones y credenciales se envían a través del
MDM al dispositivo.
El salto de la sandbox ocurre
después de que la configuración se haya enviado al dispositivo, que quedará
almacenada en "/Library/Managed Preferences/mobile/";
donde, según el informe de Appthority, cualquier otra aplicación podrá acceder
a ella con el siguiente código:
La compañía muestra un ejemplo de
una aplicación con identificador "com.acme.DemoApp"
tendrá un archivo .plist con todos los datos (incluidas las credenciales) en
texto plano.
En teoría solo podrá acceder a los datos la aplicación con el identificador correspondiente. Pero lamentablemente, todos los archivos de configuración pueden ser accesibles por cualquier otra aplicación del dispositivo. Se ha asignado el CVE-2015-5749 a esta vulnerabilidad.
La firma notificó la
vulnerabilidad a Apple de forma responsable, de forma que esta vulnerbailidad
ha quedado solucionada en la reciente actualización
a iOS 8.4.1. Por lo que se recomienda a todas las corporaciones que hagan
uso de MDM la instalación de esta versión.
Más información:
‘Quicksand’ – A New Enterprise iOS
Vulnerability
una-al-dia (18/06/2015) Cajas
rotas, arena derramada
una-al-dia (14/08/2015)
Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite
Antonio Ropero
Twitter: @aropero
