Dette sårbarheten blir ikke utnyttet i den virkelige verden. Det er ikke noe du burde være spesielt bekymret for, men det er en påminnelse om at ingen plattform er helt sikker.
Hva er en konfigurasjonsprofil?
Konfigurasjonsprofiler er opprettet med Apples iPhone Konfigurasjonsverktøy. De er ment for IT-avdelinger og mobiloperatører. Disse filene har filtypen.mobileconfig og er egentlig en enkel måte å distribuere nettverksinnstillinger til iOS-enheter.
For eksempel kan en konfigurasjonsprofil inneholde Wi-Fi, VPN, e-post, kalender og til og med passordrestriksjoner. En IT-avdeling kan distribuere konfigurasjonsprofilen til sine ansatte, slik at de raskt kan konfigurere enheten til å koble til bedriftsnettverket og andre tjenester. En mobilbærer kan distribuere en konfigurasjonsprofilfil som inneholder APN-innstillingene (Access Point Name), slik at brukerne enkelt kan konfigurere innstillinger for mobildata på enheten uten å måtte legge inn all informasjon manuelt.
Så langt så bra. En ondsinnet person kan imidlertid teoretisk lage sine egne konfigureringsprofilfiler og distribuere dem. Profilen kan konfigurere enheten til å bruke en skadelig proxy eller VPN, slik at angriperen effektivt kan overvåke alt som går over nettverket og omdirigere enheten til phishing-nettsteder eller ondsinnede sider.
Konfigurasjonsprofiler kan også brukes til å installere sertifikater. Hvis et skadelig sertifikat ble installert, kunne angriperen effektivt etterligne sikre nettsteder som banker.
Hvordan Konfigurasjonsprofiler kan installeres
Konfigurasjonsprofiler kan distribueres på flere forskjellige måter. Mest om måter er som e-postvedlegg og som filer på nettsider. En angriper kan opprette en phishing-e-post (sannsynligvis en målrettet e-post for spydsfisking) som oppfordrer ansatte i et selskap til å installere en skadelig konfigurasjonsprofil som er knyttet til e-posten. Eller en angriper kan opprette et phishing-nettsted som prøver å laste ned en konfigurasjonsprofilfil.
Administrere installerte konfigurasjonsprofiler
Du kan se om du har konfigurasjonsprofiler installert ved å åpne Innstillinger-appen på iPhone, iPad eller iPod Touch og trykke på kategorien Generelt. Se etter profilalternativet nederst i listen. Hvis du ikke ser det på Generelt-panelet, har du ikke konfigurasjonsprofiler installert.
Dette er mer av et teoretisk sårbarhet, da vi ikke er klar over at noen aktivt utnytter den. Likevel demonstrerer det at ingen enhet er helt sikker. Du bør være forsiktig når du laster ned og installerer potensielt skadelige ting, enten de er kjørbare programmer på Windows eller konfigurasjonsprofiler på IOS.