Aufgrund einer Sicherheitslücke in iOS können Angreifer auf iPhones gespeicherte Firmen-Interna auslesen. Das betrifft alle Apps und Clients, die in Unternehmen auf Apples Mobile Device Management setzen.
Nutzer von iPhones im Firmenumfeld müssen sich vor einer Schwachstelle (CVE-2015-5749) in Acht nehmen. Über die Lücke in Apples Mobile Device Management (MDM) können Angreifer Firmen-Daten, wie etwa Benutzernamen und Passwörter, auslesen. Eine Aktualisierung auf iOS 8.4.1 schließt die Schwachstelle, erläutert der Sicherheitsforscher und Entdecker der Lücke Kevin Watkins von Appthority.
Setzt ein Unternehmen auf MDM, landen die Firmen-Interna in einem Ordner, den Angreifer mittels einer präparierten App auslesen können. Dafür müssen sie diese App aber erstmal auf das Ziel-Smartphone bringen. Watkins gibt hier als mögliche Quelle Apples App Store an. Dort könnten Angreifer eine entsprechende App etwa als Produktivitäts-Anwendung tarnen.
Die App lauscht dem Sicherheitsforscher zufolge kontinuierlich im Hintergrund und greift Firmen-Daten ab. Über mögliche Angriffe auf diesem Weg ist aktuell nichts bekannt. Wer iOS 8.4.1 installiert hat, ist vor neuen Übergriffen sicher.
Wurde das Gerät jedoch schon vor dem Update kompromittiert, können Angreifer immer noch Daten im Hintergrund abziehen, warnt der Sicherheitsforscher. Er empfiehlt, Zugangsdaten von Unternehmen im Schlüsselbund von iOS zu speichern. Zudem sollte man Interna nicht über den MDM-Mechanismus speichern.