据销售互联网安全硬件和软件的Check Point Software Technologies公司的最新研究，苹果在企业设备上的安全让步可能在一个原本安全的系统中**了一个漏洞。成功后，这种“SideStepper”攻击使攻击者能够访问受害者的设备，包括他们的数据，以及安装恶意应用程序的能力。新的攻击利用了对公司设备用户不太严格的软件控制，特别是那些使用移动设备管理解决方案（mdm）将应用程序传送到**上的用户。

大多数设备所有者不易受到攻击，因为他们不使用mdm。即使是这样做的人，也不得不沉迷于网络钓鱼短信，然后无视有关恶意下载的安全警告。尽管攻击很难成功，但SideStepper展示了常见的公司实践如何为不可能的iOS攻击打开大门。成功的攻击者获得了前所未有的能力，允许他们伪装成设备的管理器并远程控制它。

该攻击利用对公司设备用户不太严格的软件控制

企业IT团队通常使用MDM自动向员工交付专业应用程序，而无需让他们批准设备上的内容。这些应用程序通常是私有的，不在应用程序商店中列出。它们不是由苹果审查、批准或托管的。精明的SideStepper攻击者利用这一公司漏洞安装自己的恶意应用程序，实质上进行中间人攻击。

设备接收到恶意应用程序

Check Point在今天上午发布的白皮书中详细介绍了这一过程。一旦安装了恶意配置文件，它就会自动设置远程企业应用程序服务器，启用中间人攻击。从那时起，每当用户的合法MDM服务器发送命令时，受损设备就会调用攻击者的恶意服务器。该设备将收到一个恶意应用程序，而不是它最初寻求的真正的更新，受害者将不知道。

苹果公司的一位发言人说：“这是一个明显的钓鱼攻击的例子，它试图欺骗用户安装配置文件，然后安装应用程序。这不是iOS漏洞。我们在iOS中内置了保护措施，以帮助警告用户此类潜在的有害内容。我们还鼓励客户仅从App Store等受信任的来源下载，并在他们选择下载和安装不受信任的内容之前，注意我们发出的警告。”

目前尚不清楚有多少设备容易受到这种攻击。Check Point不提供估计。Forrester Research在2014年报告称，2009年苹果产品占全球商业和**支出的8%，当时，该公司预计2015年这一数字将达到11%。该公司还没有更新其数据，也不清楚有多少设备连接到MDMs上。

SideStepper并不是第一个针对公司设备的攻击。2014年，帕洛阿尔托网络公司（Palo Alto Networks）发现了一个名为WireLougger的恶意软件。该恶意软件还利用了苹果公司在没有经过苹果应用商店严格审批程序的情况下自动安装应用程序的能力。该恶意软件主要影响中国用户，并在更广泛的感染之前被拆除。在这种情况下，苹果还没有解决漏洞，鉴于SideStepper不是恶意软件，公司不能简单地修补安全问题。解决这一攻击意味着重新思考它如何为企业客户设计系统。