she.net verwendet Cookies, um Ihnen die Website bestmöglich darzustellen. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu.
X
Immer auf dem neuesten Stand!

04.04.2016
Sidestepper: Sicherheitsrisiken von Mobile Device Management mit iOS


Im Netz sind bereits einige Details zu einer neuen Sicherheitslücke im Device-Management- Protokoll von iOS aufgetaucht.

Wir erklären Ihnen kurz die Funktionsweise und die Risiken.

Im Enterprise-Umfeld wird bei der Verwaltung von mobilen Endgeräten meist auf ein sogenanntes Mobile Device Management (MDM) gesetzt. Dies ermöglicht Firmen eine Compliance Richtlinie auf mobilen Endgeräte der Mitarbeiter durchzusetzen.

Apps, die von Firmen per Mobile Device Management auf den iOS-Geräten ihrer Mitarbeiter installiert werden, unterliegen nicht der Prüfung durch Apple und können Dinge tun, die in Apples App Store nicht erlaubt sind. Das ist unerlässlich für Firmen, die ihren Mitarbeitern interne Apps für ihre Geräte zur Verfügung stellen wollen.

Der Angreifer kann das Opfer mittels Phishing Link (SMS oder E-Mail) zu einer bösartigen MDM-Konfiguration leiten. Klickt das Opfer unbedacht auf diesen Link und bestätigt die Sicherheitswarnung mit „Ja“, wird die bösartige Konfiguration heruntergeladen und installiert. Der Angreifer kann nun vertrauenswürdige MDM-Befehle auf einem iOS-Gerät sowie Over-the-Air-Installationen von Apps, die mit Enterprise-Entwicklerzertifikaten signiert sind, abfangen und imitieren. Diese Ausnahme ermöglicht dem Angreifer die Umgehung der Sicherheitstools von Apple. Der Worst-Case in diesem Angriffsszenario ist die Installation einer bösartigen App, die Screenshots erfassen, Tastatureingaben aufzeichnen und damit Anmeldedaten für private und geschäftliche Apps und Dienste ausspähen, sowie persönliche Informationen wie Dokumente und Bilder abfangen und an einen Server des Angreifers weiterleiten kann. Auch eine Fernsteuerung von Komponenten wie Kamera und Mikrofon und damit die Überwachung des Opfers sowie seiner direkten Umgebung ist möglich.

Es gibt Wege und Möglichkeiten sich gegen diese schwerwiegende Lücke zu schützen. Kontaktieren Sie uns. Wir beraten Sie gerne.

Ansprechpartner

Sabine Rudolph Leiterin Marketing
T +49 621 5200 - 229
sabine.rudolph@she.net