Phishingaanval op iPhone-gebruikers via configuratieprofiel
IPhone-gebruikers zijn het doelwit van een phishingaanval geworden waarbij aanvallers het slachtoffer zover proberen te krijgen om een configuratieprofiel te installeren. Configuratieprofielen zijn eigenlijk bedoeld voor ontwikkelaars en beheerders en maken het mogelijk om allerlei instellingen aan te passen.
Het gaat dan bijvoorbeeld om netwerkinstellingen, maar ook de installatie van certificaatautoriteiten (pdf). Antivirusbedrijf Kaspersky Lab ontdekte onlangs een phishingaanval waarbij iPhone-gebruikers naar een kwaadaardige pagina worden doorgestuurd. Dit is bijvoorbeeld mogelijk via gecompromitteerde routers. De pagina vraagt gebruikers om vanwege een "network security upgrade" een configuratieprofiel te installeren en daarna opnieuw in te loggen.
Na de installatie van het configuratieprofiel, waarbij ook een certificaatautoriteit wordt geïnstalleerd, wordt de phishingsite automatisch geladen en verzamelt informatie over het toestel, waaronder productversie, apparaatversie, UDID en IMEI. Zodra de gegevens zijn ingevoerd wordt het slachtoffer naar een volgende pagina doorgestuurd die de tweefactorauthenticatiecode probeert te stelen die naar het toestel is gestuurd. Met deze gegevens kunnen de aanvallers het Apple ID van het slachtoffer overnemen. IOS-gebruikers krijgen dan ook het advies om geen configuratieprofielen van onbetrouwbare derde partijen te installeren.
Je moet als hardware fabrikant ook wel heel bewust of voor profs toch te onzorgvuldig alle van dit soort mogelijkheden benutbaar houden.
Anders gezegd;
Onderhand is ook zo'n beetje alle type chips wel een paar keer gecompromitteerd kunnen worden.
Ik heb het dus niet over tweakers die zelf met hun computer aan de slag gaan om iets te doen met onderdelen uit de doos duidelijk niet bedoeld zijn, ook niet over kopers die wachtwoorden op 1234 instellen of daarop ingesteld houden.
Wel over op afstand of na inpluggen hackbare apparatuur en software.
Dus, by default moeten onderdelen misschien zo zijn ingericht dat een serie van opeenvolgende handelingen misschien niet tot een security-breach kunnen leiden??
Niet out of the box, zeker niet nadat al enige updates zijn uitgebracht.
En ja, dat laatste zal misschien nog wel een veel grotere uitdaging zijn.
Maar misschien is dat de enige zorgvuldigheid bij ICT apparaten die stand kan houden de zorgvuldigheid die door ontwikkelaars wordt toegepast?
Ook als na een trits aan ontdekte kwetsbaarheden gebruikers hun apparaten hebben moeten updaten, dan klopt er wellicht toch minder van de gebruikte ontwikkelmethode dan dat beoogt en gehoopt was.
Een leiding van een reminstallatie van een auto hoort immers na onderhoud of software update ook niet alsnog te gaan lekken.
Hoe kan je controleren of een ouder iemand dit per ongeluk op zijn mobiel heeft?
Lol, als iemand jou om jouw bankpas en pincode vraagt en jij geeft die kan je niet zeggen dat pinnen onveiliger is geworden.
Ik begrijp uit je posting dat je geen liefhebber van Apple bent maar een dergelijke opm. raakt kant noch wal.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.