1

Vulnerabilidad en iOS coloca en riesgo información empresarial

Según las analistas la brecha que genera la vulnerabilidad afecta aplicaciones de terceros para iOS.

Una vulnerabilidad en el entorno limitado de iOS ha sido detectada: la brecha afecta a las aplicaciones de terceros que instalan las empresas en los dispositivos de sus empleados.

El error fue descubierto por investigadores de la empresa de seguridad móvil Appthority e impacta a las aplicaciones desplegadas en dispositivos iOS a través de gestión móvil de dispositivos (MDM, por sus siglas en inglés) o de productos de gestión de la movilidad empresarial (EEM).

Estos productos permiten a los administradores pulsar automáticamente las aplicaciones, realizar ajustes en la configuración y en las reglas de acceso a datos de los dispositivos móviles de la empresa.

Aplicación encubierta

Según Appthority, cuando las aplicaciones corporativas se implementan de esta manera, sus opciones de configuración sensibles que pueden incluir direcciones URL internas de servidores, nombres de usuario, contraseñas y acceso fichas, se almacenan en la ubicación “mundo legible”.

Debido a esto, cualquier otra aplicación instalada en el mismo dispositivo puede leer esa información, violando el sandbox estándar de aplicaciones iOS que se supone evita la lectura de datos entre cada una de las aplicaciones.

Información sensible

Los atacantes crean una aplicación canalla diseñada para leer la información confidencial de aplicaciones que utilizan configuraciones administradas y podría incluso distribuir esa aplicación a través de la tienda iTunes o de ataques de phishing utilizando el correo electrónico, según señalaron los investigadores Appthority en una entrada de blog.

Appthority escanea millones de aplicaciones y encontró que la mayoría de los que tienen los datos de configuración vulnerables eran clientes de MDM, aplicaciones corporativas que otorgan el acceso al trabajo de correo electrónico y documentos de la empresa y los navegadores seguros utilizados en redes internas.

“También encontramos aplicaciones utilizadas en la industria de la salud, dando a los médicos el acceso a los datos y registros de los pacientes”.

Actualización urgente

Casi la mitad de los valores gestionados para las aplicaciones identificadas contenía credenciales como nombres de usuario, contraseñas y tokens de acceso y servidores el 67% de la información de identificación, de acuerdo con Appthority.

Apple generó una actualización el 13 de agosto que resuelve la vulnerabilidad en iOS 8.4.1.

Sin embargo, con base en análisis anteriores, Appthority determinó que hasta el 70% de los dispositivos iOS no se ha actualizado y que el proceso puede demorar meses desde la fecha de su liberación.