Jak donosi Check Point, luka o nazwie SideStepper umożliwia atakującemu obejście zabezpieczeń w systemie iOS 9, które mają chronić użytkowników przed zainstalowaniem szkodliwych aplikacji biznesowych. Zabezpieczenia te powodują, że chcąc zainstalować aplikację, użytkownik musi wykonać kilka dodatkowych czynności, związanych z weryfikacją certyfikatu twórcy aplikacji. Dzięki temu, przypadkowe zainstalowanie szkodliwej aplikacji jest mniej prawdopodobne. Jest jednak wyjątek od tej reguły: jeśli aplikacja instalowana jest za pośrednictwem systemu MDM, to nowe zabezpieczenia nie są używane. Atakujący może przejąć kontrolę nad połączeniem i symulować w urządzeniu z systemem iOS poprawne komendy MDM, na przykład instrukcje zdalnej instalacji aplikacji podpisanych certyfikatami twórców oprogramowania biznesowego.

Według szacunków, 79 proc. z 1,2 mld używanych iPhone’ów i iPadów korzysta z systemu iOS 9. Czyli zagrożone są w ocenie Check Pointa setki milionów urządzeń. 

Michaela Shaulov, szef działu produktów mobilnych firmy Check Point, twierdzi, że infekcja jest natychmiastowa i niewidoczna. Luka stwarza według niego poważne zagrożenie dla użytkownika i bezpieczeństwa poufnych danych. Mianowicie haker może zmusić smartfon lub tablet m.in do przechwytywania zrzutów ekranu, rejestrowania sekwencji klawiszy, a nawet podsłuchiwania rozmów.
   
SideStepper nie jest pierwszą luką w urządzeniach Apple’a. W zeszłym tygodniu władze USA poinformowały, że FBI udało się złamać zabezpieczenia iPhone’a 5C, należącego do Syeda Farooka – jednego z odpowiedzialnych za grudniową masakrę w San Bernardino. Wcześniej producent iPhone’ów i iPadów nie zgodził się na opracowanie dla służb „furtki” pozwalającej na włamanie się do zabezpieczonych urządzeń. Ostatecznie sędzia sądu federalnego w Nowym Jorku orzekł, że Departament Sprawiedliwości nie może zmusić firmy Apple do odblokowania iPhone’a w celu dotarcia do znajdujących się w nim danych.

Check Point poinformował firmę z Cupertino o luce bezpieczeństwa zaraz po odkryciu – w październiku 2015 r., jednak Apple uznało, że „jest to jasny przykład ataku phishingowego (…), nie mający nic wspólnego z podatnościami w iOS” i jak na razie nie zamierza wprowadzać aktualizacji zabezpieczeń.