Se ha anunciado una nueva vulnerabilidad en iOS que afecta a las instalaciones y despliegues corporativos que hagan uso de sistemas MDM (Mobile Device Management) y que podría permitir el acceso a información confidencial de la compañía, como URLs de los servidores, credenciales de acceso con contraseñas en texto plano, etc.
El fallo ha sido descubierto por la compañía Appthority que fiel a la costumbre actual lo ha bautizado como Quicksand (arenas movedizas), ya que una vez más se ha conseguido evadir la seguridad de la sandbox. La violación afecta a todos los clientes MDM, así como a todas las aplicaciones móviles distribuidas a través de un MDM que usen la opción «Managed App Configuration» para establecer y almacenar toda la información y configuraciones privadas. De esta forma, cualquier otra aplicación del dispositivo, podrá acceder a la información confidencial (como las credenciales de acceso) en formato texto plano.
La mayoría de las compañías emplean un sistema MDM/EMM para administrar y controlar el acceso a datos, correo y aplicaciones corporativas en los dispositivos móviles de los empleados. De esta forma lo primero que se hace es crear una cuenta MDM para el empleado e instalar el cliente MDM en su dispositivo móvil. Desde ese momento, todas las aplicaciones corporativas, así como configuraciones y credenciales se envían a través del MDM al dispositivo.
El salto de la sandbox ocurre después de que la configuración se haya enviado al dispositivo, que quedará almacenada en «/Library/Managed Preferences/mobile/«; donde, según el informe de Appthority, cualquier otra aplicación podrá acceder a ella con el siguiente código:
La compañía muestra un ejemplo de una aplicación con identificador «com.acme.DemoApp» tendrá un archivo .plist con todos los datos (incluidas las credenciales) en texto plano.
En teoría solo podrá acceder a los datos la aplicación con el identificador correspondiente. Pero lamentablemente, todos los archivos de configuración pueden ser accesibles por cualquier otra aplicación del dispositivo. Se ha asignado el CVE-2015-5749 a esta vulnerabilidad.
La firma notificó la vulnerabilidad a Apple de forma responsable, de forma que esta vulnerbailidad ha quedado solucionada en la reciente actualización a iOS 8.4.1. Por lo que se recomienda a todas las corporaciones que hagan uso de MDM la instalación de esta versión.
Más información:
‘Quicksand’ – A New Enterprise iOS Vulnerability
una-al-dia (18/06/2015) Cajas rotas, arena derramada
una-al-dia (14/08/2015) Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite
Antonio Ropero
Twitter: @aropero
