Ova ranjivost se ne iskorištava u stvarnom svijetu. To nije nešto za što biste trebali biti posebno zabrinuti, ali podsjetnik je da platforma nije potpuno sigurna.
Što je profil konfiguracije?
Profili konfiguracije izrađuju se pomoću Appleovog alata za konfiguraciju iPhone uređaja. Namijenjeni su IT odjelima i mobilnim operaterima. Te datoteke imaju ekstenziju.mobileconfig datoteke i bitno su jednostavan način distribucije mrežnih postavki na iOS uređaje.
Na primjer, profil konfiguracije može sadržavati postavke Wi-Fi, VPN, e-pošte, kalendara, pa čak i ograničenja zaporki. IT odjel može distribuirati profil konfiguracije svojim zaposlenicima, omogućujući im brzo konfiguriranje svog uređaja za povezivanje s mrežom tvrtke i ostalim uslugama. Mobilni operater mogao bi distribuirati datoteku konfiguracijskog profila koja sadrži postavke naziva pristupne točke (APN), omogućujući korisnicima jednostavno konfiguriranje postavki mobilnih podataka na svom uređaju bez ručnog unošenja svih informacija.
Zasada je dobro. Međutim, zlonamjerna osoba mogla bi teorijski stvoriti vlastite datoteke profila konfiguracije i distribuirati ih. Profil bi mogao konfigurirati uređaj da upotrebljava zlonamjerni proxy ili VPN, čime je omogućio napadaču da nadgleda sve što ide preko mreže i preusmjeri uređaj na web stranice za krađu identiteta ili zlonamjerne stranice.
Konfiguracijski profili mogu se koristiti i za instaliranje certifikata. Ako je instaliran zlonamjerni certifikat, napadač bi mogao uspješno predstavljati sigurne web stranice kao što su banke.
Kako se konfiguracijski profili mogu instalirati
Profili konfiguracije mogu se distribuirati na nekoliko različitih načina. Najviše se odnosi na e-mail privitke i kao datoteke na web stranicama. Napadač može stvoriti e-poštu za krađu identiteta (vjerojatno e-pošte ciljane na koplje) koja potiče zaposlenike korporacije da instaliraju zlonamjerni profil konfiguracije koji je pridružen e-pošti. Ili, napadač može postaviti web mjesto za krađu identiteta koje pokušava preuzeti datoteku profila konfiguracije.
Upravljanje postavljenim profilima konfiguracije
Možete vidjeti jeste li instalirali profile konfiguracije otvaranjem aplikacije Postavke na iPhoneu, iPadu ili iPod Touchu i dodirivanjem Opće kategorije. Potražite opciju Profil pri dnu popisa. Ako ga ne vidite u oknu Općenito, nemate instalirane profile konfiguracije.
Ovo je više od teorijske ranjivosti, jer nismo svjesni nikoga koji ga aktivno iskorištava. Ipak, to pokazuje da nijedan uređaj nije potpuno siguran. Prilikom preuzimanja i instalacije potencijalno štetnih stvari trebali biste biti oprezni, bez obzira na to jesu li izvršni programi na sustavu Windows ili konfiguracijski profili na iOS-u.