A Apple publicou um novo documento da base de conhecimento sobre a instalação de aplicativos corporativos em resposta à vulnerabilidade "Masque Attack".
O ataque Masque utiliza perfis de provisão empresarial do iOS para instalar aplicativos maliciosos fora da App Store do iOS que emulam e substituem aplicativos legítimos existentes para recuperar informações do usuário à medida que eles inserem informações importantes, incluindo endereços de e-mail, números de telefone, senhas e muito mais.
Se você instalar aplicativos personalizados criados para sua organização, aqui estão algumas das diretrizes de segurança fornecidas pela Apple para evitar vulnerabilidades como "Masque Attack":
Se você instalar aplicativos corporativos personalizados
- Você deve instalar aplicativos corporativos no site seguro da sua empresa. Você deve evitar a instalação de aplicativos de sites de terceiros ou de links não reconhecidos ou confiáveis.
- Quando você toca em um link para baixar um aplicativo corporativo personalizado do site da sua empresa, você deve receber uma mensagem pop-up que informa que “yourorganization.com” gostaria de instalar um aplicativo, como você pode ver na imagem abaixo.
- Se você fizer o download de um aplicativo e receber um alerta perguntando se deseja executar aplicativos e "Desenvolvedor de aplicativos não confiáveis", toque em Não confiar e excluir o aplicativo do seu dispositivo.
Se você não instalar aplicativos corporativos personalizados
Se você não instalar aplicativos corporativos personalizados, deverá instalar apenas aplicativos da App Store.
Para descobrir se você foi vítima do ataque Masque, verifique em Configurações> Geral> Perfis para descobrir os perfis usados para instalar um aplicativo que não é da App Store. Se você vir um perfil para um desenvolvedor não confiável, exclua-o.
Deixe-me saber se você tiver alguma dúvida.
[via Apple]