شماره: IRCNE2013031785
تاريخ: 23/12/91
پروفايلهاي iOS يا همان فايلهاي پيكربندي موبايل، براي پيكربندي تنظيمات كليدي براي email، Wi-Fi و ساير ويژگيها توسط ارائه دهندگان سرويسهاي تلفن همراه مورد استفاده قرار ميگيرند. اما شركت امنيتي Skycure Security در بلاگ خود افشا كرد كه اين فايلها ميتوانند توسط مهاجمان براي حركت در اختيار گرفتن كنترل يك دستگاه موبايل مورد سوء استفاده قرار گيرند.
يك مهاجم ميتواند با ارائه رايگان يك شيء، كاربران را ترغيب به مشاهده يك وبسايت خرابكار نمايد. قربانيان براي دريافت آن شيء رايگان، مجبور به نصب يك فايل پيكربندي موبايل خواهند شد كه تنظيمات دستگاه آنها را تغيير ميدهد. سپس اين پروفايل خرابكار دسترسي كامل گوشي را در اختيار مهاجم قرار خواهد داد.
مانند اغلب حملات سرقت هويت، نرخ موفقيت به تعداد افرادي كه اين فريب بر روي آنها اثر دارد وابسته است.
اما مطالعهاي كه توسط Skycure انجام شده نشان ميدهد كه تعدادي از سرويس دهندگان موبايل، از كاربران خود ميخواهند كه فايلهاي پيكربندي موبايل را براي دسترسي به شبكههاي داده نصب نمايند. به گزارش Skycure، بسياري از مواقع اين پروسه امنيت كافي به همراه ندارد.
اين شركت امنيتي افشا كرد كه چنين پروسهاي در بسياري از فروشگاههاي AT&T نيز وجود دارد. در يكي از اين فروشگاهها، يك فروشنده AT&T در حقيقت تلفن كاربر را در اختيار ميگيرد و پروسه مزبور را از طريق يك شبكه wi-fi عمومي انجام ميدهد كه هدف سادهاي براي حملات man-in-the-middle است.
اين حملات man-in-the-middle ميتوانند فايل پيكربندي موبايل را به يك نسخه خرابكار تغيير دهند و اجازه دهند كه دستگاه مورد سوء استفاده قرار گيرد. Skycure اظهار داشت كه در مورد اين موضوع به AT&T هشدار داده است و اعتقاد دارد كه اين سرويس دهنده موبايل، امنيت اين پروسه خود را افزايش خواهد داد.
Skycure همچنين براي دانلود فايلهاي پيكربندي موبايل، سه توصيه به كاربران iOS كرده است:
1- شما فقط بايد پروفايلها را از وبسايتها يا برنامهها معتبر نصب نماييد.
2- اطمينان حاصل كنيد كه پروفايلها را از طريق يك كانال امن دانلود ميكنيد.
3- در مورد فايلهاي پيكربندي غيرمعتبر هشيار باشيد، چرا كه حتي فايلهاي پيكربندي معتبر نيز لزوماً امن نيستند.
- 92