Esta vulnerabilidade não está sendo explorada no mundo real. Não é algo com o que você deve se preocupar, mas é um lembrete de que nenhuma plataforma é totalmente segura.
O que é um perfil de configuração?
Os perfis de configuração são criados com o Utilitário de configuração do iPhone da Apple. Eles são destinados a departamentos de TI e operadoras de celular. Esses arquivos têm a extensão de arquivo.mobileconfig e são essencialmente uma maneira fácil de distribuir configurações de rede para dispositivos iOS.
Por exemplo, um perfil de configuração pode conter configurações de restrição de Wi-Fi, VPN, email, calendário e até mesmo senha. Um departamento de TI pode distribuir o perfil de configuração para seus funcionários, permitindo que eles configurem rapidamente seus dispositivos para se conectarem à rede corporativa e a outros serviços. Uma operadora de celular poderia distribuir um arquivo de perfil de configuração contendo suas configurações de nome de ponto de acesso (APN), permitindo que os usuários configurassem facilmente as configurações de dados da rede celular em seus dispositivos sem precisar inserir todas as informações manualmente.
Por enquanto, tudo bem. No entanto, uma pessoa mal-intencionada poderia teoricamente criar seus próprios arquivos de perfil de configuração e distribuí-los. O perfil pode configurar o dispositivo para usar um proxy ou VPN mal-intencionado, permitindo efetivamente que o invasor monitore tudo que passa pela rede e redirecione o dispositivo para sites de phishing ou páginas maliciosas.
Os perfis de configuração também podem ser usados para instalar certificados. Se um certificado mal-intencionado foi instalado, o invasor pode efetivamente representar sites seguros, como bancos.
Como os perfis de configuração podem ser instalados
Os perfis de configuração podem ser distribuídos de várias maneiras diferentes. As formas mais preocupantes são como anexos de e-mail e arquivos em páginas da web. Um invasor pode criar um e-mail de phishing (provavelmente um e-mail de spear-phishing direcionado) incentivando os funcionários de uma empresa a instalar um perfil de configuração mal-intencionado anexado ao e-mail. Ou um invasor pode configurar um site de phishing que tente baixar um arquivo de perfil de configuração.
Gerenciando perfis de configuração instalados
Você pode ver se possui algum perfil de configuração instalado abrindo o aplicativo Configurações no seu iPhone, iPad ou iPod Touch e tocando na categoria Geral. Procure a opção Perfil na parte inferior da lista. Se você não o vir no painel Geral, não terá nenhum perfil de configuração instalado.
Isso é mais uma vulnerabilidade teórica, pois não temos conhecimento de ninguém que esteja explorando ativamente. Ainda assim, demonstra que nenhum dispositivo é completamente seguro. Você deve ter cuidado ao fazer o download e instalar itens potencialmente prejudiciais, sejam eles programas executáveis no Windows ou perfis de configuração no iOS.
