{"id":217,"date":"2015-08-24T14:49:26","date_gmt":"2015-08-24T17:49:26","guid":{"rendered":"http:\/\/blog.batori.com.br\/?p=217"},"modified":"2015-08-24T14:58:56","modified_gmt":"2015-08-24T17:58:56","slug":"vulnerabilidade-em-dispositivos-ios-gerenciados-por-empresas-coloca-os-dados-de-negocios-em-risco","status":"publish","type":"post","link":"https:\/\/www.batori.com.br\/blog\/vulnerabilidade-em-dispositivos-ios-gerenciados-por-empresas-coloca-os-dados-de-negocios-em-risco\/","title":{"rendered":"Vulnerabilidade em dispositivos iOS gerenciados por empresas coloca os dados de neg\u00f3cio em risco"},"content":{"rendered":"

Configura\u00e7\u00f5es de aplicativos<\/span> implantados<\/span> atrav\u00e9s de produtos<\/span> de gerenciamento de dispositivos<\/span> m\u00f3veis<\/span> podem ser lidos por<\/span> outros aplicativos<\/span><\/span><\/em><\/p>\n

\"\"<\/p>\n

Uma vulnerabilidade no sandbox iOS para aplica\u00e7\u00f5es de terceiros, como aquelas instaladas por empresas nos dispositivos de seus funcion\u00e1rios, pode expor as defini\u00e7\u00f5es de configura\u00e7\u00e3o e credenciais sens\u00edveis.<\/span><\/span><\/p>\n

A falha foi descoberta por pesquisadores da empresa de seguran\u00e7a m\u00f3vel Appthority e afeta aplicativos implantados em dispositivos iOS atrav\u00e9s de MDM (grenciamento\u00a0 de dispositivos m\u00f3veis) ou produto de gerenciamento mobilidade (EEM). <\/span>Estes produtos permitem que os administradores instalem\u00a0automaticamente aplica\u00e7\u00f5es, defini\u00e7\u00f5es de configura\u00e7\u00e3o e regras de acesso de dados para dispositivos m\u00f3veis da empresa.<\/span><\/span><\/p>\n

Antes que um novo dispositivo iOS \u00e9 trazido para dentro da rede de uma empresa que utiliza um sistema de gerenciamento m\u00f3vel, uma conta MDM \u00e9 criada e um aplicativo cliente est\u00e1 instalado. <\/span>O cliente MDM \u00e9 usado para instalar aplicativos corporativos e para impor pol\u00edticas de acesso para dados e e-mail corporativos.<\/span><\/span><\/p>\n

De acordo com a empresa Appthority, quando aplicativos corporativos s\u00e3o implementados dessa maneira, suas defini\u00e7\u00f5es de configura\u00e7\u00e3o sens\u00edveis, que podem incluir URLs internas do servidor, nomes de usu\u00e1rio, senhas e tokens de acesso, s\u00e3o armazenados em um local “acess\u00edvel pelo mundo”.<\/span><\/p>\n

Devido a isso, qualquer outro aplicativo instalado no mesmo dispositivo pode ler essa informa\u00e7\u00e3o, violar a prote\u00e7\u00e3o\u00a0 padr\u00e3o de sandbox do aplicativo iOS. Esta prote\u00e7\u00e3o deveria impedir que aplicativos pudessem ler os dados de outros aplicativos.<\/span><\/p>\n

Segundo os pesquisadores da empresa Appthority, atacantes poderiam criar um aplicativo n\u00e3o autorizado projetado para ler informa\u00e7\u00f5es confidenciais de aplicativos que usam o gerenciamento de configura\u00e7\u00f5es e poderia distribuir esse aplicativo atrav\u00e9s da loja iTunes ou via ataques de spear phishing baseados em e-mail. <\/span>Para aumentar a chance de afetar os usu\u00e1rios corporativos, os atacantes poderiam projetar o app falso para funcionar como uma ferramenta de produtividade.<\/span><\/p>\n

Pode ser dif\u00edcil detectar o comportamento malicioso do aplicativo nocivo, porque seria apenas um dos muitos aplicativos leg\u00edtimos com acesso ao diret\u00f3rio onde as configura\u00e7\u00f5es gerenciadas s\u00e3o armazenadas.<\/span><\/p>\n

O impacto para as empresas depende do tipo de informa\u00e7\u00e3o que pode ser exposta atrav\u00e9s de\u00a0 configura\u00e7\u00f5es dos aplicativos gerenciados. <\/span>Appthority fez uma varredura em milh\u00f5es de aplicativos e descobriu que a maioria dos apps com dados de configura\u00e7\u00e3o vulner\u00e1veis \u200b\u200beram clientes MDM, ou seja, aplicativos corporativos que concedem acesso ao e-mail corporativo, documentos de neg\u00f3cios e navegadores seguros utilizados em redes internas.<\/span><\/p>\n

“Tamb\u00e9m descobrimos aplicativos usados \u200b\u200bno setor de sa\u00fade, dando aos m\u00e9dicos o acesso a dados do paciente e registros”, cujo compromisso pode resultar em poss\u00edveis viola\u00e7\u00f5es da Health Insurance Portability e Accountability Act (HIPAA), disseram os pesquisadores.<\/span><\/p>\n

Quase metade das configura\u00e7\u00f5es gerenciadas para as aplica\u00e7\u00f5es identificadas tinham credenciais como nomes de usu\u00e1rios, senhas e tokens de acesso e 67% continham informa\u00e7\u00f5es identificando os servidores, de acordo com Appthority.<\/span><\/p>\n

A Apple corrigiu a vulnerabilidade no iOS 8.4.1, a corre\u00e7\u00e3o foi lan\u00e7ada em 13 de agosto pela configura\u00e7\u00e3o do perfil de sandbox para aplica\u00e7\u00f5es com prefer\u00eancias gerenciadas. <\/span>No entanto, com base em verifica\u00e7\u00f5es anteriores, Appthority determinou que at\u00e9 70 por cento dos dispositivos iOS n\u00e3o s\u00e3o atualizados para a vers\u00e3o mais recente iOS, mesmo meses depois do lan\u00e7amento da corre\u00e7\u00e3o.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Configura\u00e7\u00f5es de aplicativos implantados atrav\u00e9s de produtos de gerenciamento de dispositivos m\u00f3veis podem ser lidos por outros aplicativos Uma vulnerabilidade no sandbox iOS para aplica\u00e7\u00f5es de terceiros, como aquelas instaladas por empresas nos dispositivos de seus funcion\u00e1rios, pode expor as … Continue lendo →<\/span><\/a><\/p>\n","protected":false},"author":125,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"_links":{"self":[{"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/217"}],"collection":[{"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/users\/125"}],"replies":[{"embeddable":true,"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/comments?post=217"}],"version-history":[{"count":5,"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/217\/revisions"}],"predecessor-version":[{"id":222,"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/217\/revisions\/222"}],"wp:attachment":[{"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/media?parent=217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/categories?post=217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/tags?post=217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}