Táto zraniteľnosť sa v skutočnom svete nevyužíva. Nie je to niečo, na čom by ste sa mali obávať, ale je to pripomienka, že žiadna platforma nie je úplne bezpečná.
Čo je profil konfigurácie?
Konfiguračné profily sú vytvorené pomocou aplikácie Apple iPhone Configuration Utility. Sú určené pre oddelenia IT a mobilné operátory. Tieto súbory majú príponu súboru.mobileconfig a sú v podstate jednoduchým spôsobom distribúcie nastavení siete na zariadeniach so systémom iOS.
Napríklad konfiguračný profil môže obsahovať nastavenia obmedzenia prístupu Wi-Fi, VPN, e-mailu, kalendára a dokonca aj obmedzenia prístupových kódov. Oddelenie IT môže distribuovať konfiguračný profil svojim zamestnancom, čo im umožňuje rýchlo nakonfigurovať svoje zariadenie na pripojenie k podnikovej sieti a ďalším službám. Mobilný operátor mohol distribuovať súbor s konfiguračným profilom, ktorý obsahuje nastavenia APN (APN), čo používateľom umožňuje jednoducho nakonfigurovať nastavenia bunkových dát na zariadení bez toho, aby museli manuálne zadávať všetky informácie.
Zatiaľ je všetko dobré. Zločinca by však teoreticky mohol vytvoriť vlastné konfiguračné súbory profilov a distribuovať ich. Profil by mohol nakonfigurovať zariadenie na používanie škodlivého servera proxy alebo siete VPN, čo by útočníkovi umožnilo monitorovať všetko, čo prechádza cez sieť, a presmerovať zariadenie na webové stránky s phishingovými alebo škodlivými stránkami.
Profily konfigurácie môžu byť použité aj na inštaláciu certifikátov. Ak bol nainštalovaný škodlivý certifikát, útočník by mohol účinne zosobňovať zabezpečené webové stránky, ako sú banky.
Ako by sa mohli nainštalovať profily konfigurácie
Konfiguračné profily môžu byť distribuované niekoľkými rôznymi spôsobmi. Najčastejšie sa jedná o prílohy e-mailov a súbory na webových stránkach. Útočník by mohol vytvoriť phishingový e-mail (pravdepodobne cielený e-mail s phishingom), ktorý by povzbudzoval zamestnancov korporácie k inštalácii škodlivého konfiguračného profilu pripojeného k e-mailu. Alebo by útočník mohol nastaviť stránku s neoprávneným získavaním údajov, ktorá sa pokúsi stiahnuť súbor konfiguračného profilu.
Správa nainštalovaných profilov konfigurácie
Ak máte nainštalované konfiguračné profily, otvorte aplikáciu Nastavenia na zariadení iPhone, iPad alebo iPod Touch a klepnite na kategóriu Všeobecné. Pozrite sa na možnosť Profil v blízkosti spodnej časti zoznamu. Ak sa to nezobrazuje na paneli Všeobecné, nemáte nainštalované žiadne konfiguračné profily.
Je to viac teoretickej zraniteľnosti, pretože si nie sme vedomí toho, kto ju aktívne využíva. Napriek tomu dokazuje, že žiadne zariadenie nie je úplne zabezpečené. Pri sťahovaní a inštalovaní potenciálne škodlivých vecí, či už ide o spustiteľné programy v systéme Windows alebo konfiguračné profily v systéme iOS, musíte postupovať opatrne.
