På iPhone er det muligt at installere konfigurationsprofiler “over the air”, via Mobile Safari. En funktion som mange systemadministratorer sætter pris på, når en hel bunke iPhones skal indstilles.

Det foregår ved at brugeren manuelt accepterer profilen, som skal være signeret med en digital signatur.

Hackere har nu kompromitteret sikkerheden, idet det er lykkedes, ikke alene at få en falsk profil til at fremstå som “verified”, men også at den er verificeret af selveste “Apple Computer”.

Potentielt kan denne sikkerhedsbrist benyttes til at ændre indstillingerne i iPhonen så al datatrafik går gennem hackerens egen gateway, og dermed er der lagt op til password-sniffing a la carte.

Den eneste måde at fjerne en falsk profil på, er at gendanne iPhonen, uden at restore en backup med den falske profil.

Så pas på, hvis du pludseligt ser et skærmbillede der ligner ovenstående.

Kilde: MobileCrunch


Læs også