{"id":10771,"title":"\u0411\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u044b\u0439 \u0430\u043a\u0441\u0435\u043b\u0435\u0440\u0430\u0442\u043e\u0440 \u0434\u043b\u044f digital-\u0441\u0442\u0430\u0440\u0442\u0430\u043f\u043e\u0432","url":"\/redirect?component=advertising&id=10771&url=https:\/\/vc.ru\/promo\/349044-korotko-zapustit-pilot-i-poluchit-novyh-klientov-s-pwc&placeBit=1&hash=784bba4e4e7bbdd70a9f4ae7dbba83bdf662dd17da42e7eeb734d693a784bfa7","isPaidAndBannersEnabled":false}

Что нужно знать о профилях конфигурации в iOS на примере истории с «МаксимаТелеком»

На прошлой неделе «МаксимаТелеком» в тестовом режиме запустила закрытую сеть Wi-Fi с использованием технологии Hotspot 2.0 в московском метро. В этой статье разбираемся, что это за технология и как она может повлиять на безопасность интернет-соединения пользователей.

Подключиться к новой сети Wi-Fi пока могут только пользователи iPhone и других iOS-устройств. Для этого нужно зайти на специальную страницу (на момент публикации статьи выдачу профилей приостановили) и установить оттуда профиль конфигурации.

Что такое профили конфигурации для устройств Apple

Профиль в iOS — это набор сконфигурированных настроек. Устанавливая профиль на своё устройство, вы применяете все зашитые в нём параметры. Так можно вносить изменения в том числе в скрытые настройки, конфигурация которых недоступна из стандартного пользовательского интерфейса.

Профили конфигурации — очень мощный инструмент. С их помощью можно устанавливать и настраивать приложения, устанавливать сертификаты безопасности, изменять настройки мобильной сети, настройки Wi-Fi, VPN и прокси, получать местонахождение пользователя и даже дистанционно заблокировать устройство или стереть с него все данные.

Для чего нужны профили конфигурации

У профилей на iOS множество применений. Например, школы и компании используют для управления корпоративными устройствами сотрудников и учеников.

Такие профили, которые используются для удалённого управления устройствами, называются MDM-профилями (Mobile Device Management).

Разработчики тоже активно используют профили — для установки непубличных бета-версий iOS или для установки приложений, которые отсутствуют в AppStore.

Также профили можно использовать для банальной конфигурации каких-то параметров, которые скрыты от пользователя, — как это и сделано в случае «МаксимаТелеком». Кстати, некоторые приложения, которые предоставляют доступ через VPN, тоже используют профили конфигурации в iOS.

Как и в случае почти с любой другой технологией, злоумышленники тоже могут использовать профили конфигурации. Установив соответствующий профиль на чьё-то устройство, они могут, например, подменить сертификат безопасности.

Последнее позволит перехватывать трафик, модифицировать контент на просматриваемых страницах, выполнять вредоносный код на устройстве, встраивать собственную рекламу в контент страниц.

Вот что говорит об использовании профилей конфигурации в iOS для атаки на пользователей специалист по безопасности Алекс Пацай, автор блога alexmak.net и Telegram-канала «Информация опасносте»:

Список ограничений iOS, которые могут быть изменены на устройстве, числящимся в MDM-программе, довольно обширный и распространяется на различные возможности системы — от ограничений доступа к определённому приложению, какой-то службе системы или функции самой операционной системы.

Сама функция в первую очередь предполагает, что её будут использовать администраторы по управлению устройствами в рамках компании или учебного заведения. Например, из относительно безобидного, можно заблокировать возможность использовать камеру для съёмки фото или видео или запретить возможность делать скриншоты на устройстве.

Из более «строгих» — запрет установки приложений, запрет на использование приложений, форсированная установка приложений, включение глобальной HTTP-proxy или VPN-сервиса (например, с последующим перехватом трафика), вплоть до включения Activation Lock устройства, блокирующего его использование, с последующим удалением данных на устройстве.

К сожалению, применение MDM во вредоносных целях — не теория, а реальная практика.

Эксперты компании Talos в 2018 году обнаружили атаку, направленную на конкретных пользователей iPhone в Индии, с применением системы MDM для того, чтобы получить контроль над устройствами жертв.

Установка профиля, как правило, достигается методом социальной инженерии, в рамках которой жертву обманом уговаривают установить MDM-профиль.

После этого на устройства удалённо ставились модифицированные версии популярных приложений, включая Telegram и WhatsApp, и с их помощью злоумышленники получали информацию о местоположении пользователей, текстовые сообщения и другую личную переписку из этих сторонних приложений.

В связи с достаточно узким таргетингом не очень понятно, насколько подобная атака была успешной, но технологически эта схема, если удалось обмануть пользователя для установки MDM-профиля, вполне рабочая.

Алекс Пацай
автор Telegram-канала «Информация опасносте»

Чтобы пользователи понимали, какие профили ставить стоит, а какие нет, существует система подписывания профилей специальными сертификатами безопасности. Поэтому при установке профиля нужно очень внимательно смотреть на то, кто подписывал сертификат.

Если у вас возникают сомнения, доверять ли его автору, профиль устанавливать не стоит. Кроме сертификата также нужно смотреть, какие именно настройки изменяет профиль.

Настройки профиля конфигурации от «МаксимаТелеком». Наглядно видно, что они затрагивают только настройки подключения к Wi-Fi

Зачем такая технология нужна в метро

Решение, которое предоставляет «МаксимаТелеком» в виде закрытой сети Wi-Fi, по своей сути, добавляет дополнительный уровень безопасности.

Если ранее любой, кто находился с вами в одном вагоне, мог с помощью несложных манипуляций перехватывать весь ваш незашифрованный трафик, то теперь это будет невозможно.

В закрытой сети у каждого пользователя есть свой логин и пароль для подключения, которые передаются с помощью установки профиля конфигурации. Таким образом, весь трафик зашифрован. В первую очередь этот подход обезопасит обмен трафиком, который не защищен с помощью SSL.

Сергей Вахотин, архитектор-аналитик «МаксимаТелеком» приводит следующие причины для запуска закрытой сети:

Этот проект родился в RnD-подразделении по результатам реакции на опроса пользователей, где 10% пользователей выражали обеспокоенность и избегала подключения к открытым сетям из-за вопросов безопасности. Основными рисками считаются создание фейковых точек доступа и отсутствие шифрования радиочасти.

Сергей Вахотин
архитектор-аналитик «МаксимаТелеком»

Человеческий фактор и возможные риски

Хотя подход «МаксимаТелеком» и делает соединение пользователей более безопасным и в текущем виде работает в тестовом режиме (в дальнейшем изменение настроек будет происходить через приложение, а не с помощью установки профилей), он создаёт интересный прецедент.

Один из потенциальных минусов, которые он может за собой повлечь, связан как раз с практикой установки профилей конфигурации обычными пользователями. Если их приучат, что поставить какой-то профиль на своё iOS-устройство это рутинная задача, то это открывает много путей атаки для злоумышленников. И причина кроется не в самой технологии, а в людях.

Среднестатистический человек вряд ли будет обращать внимание на подпись сертификата профиля или разбираться, какие именно настройки будут применены. В большинстве случаев процесс будет идти по классическому пути «далее, далее, принимаю, согласен, далее, готово», несмотря на все предупреждения системы.

А следовательно, возрастает и вероятность того, что найдутся желающие поживиться за счёт невнимательных пользователей. Например, с помощью распространения собственных фальшивых профилей под видом настроек для сети Wi-Fi или ещё чего-либо.

С увеличением количества сервисов, которые будут требовать изменение настроек через установку профилей, особенно в таких массовых местах как метро, важным аспектом становится донесение до людей важности внимательной проверки профилей и серьезности возможных последствий.

Ведь люди до сих пор в больших количествах попадаются на фишинг, сами устанавливают левые приложения, майнеры криптовалют и продолжают жевать кактус самым разными способами.

Подробнее о профилях конфигурации в iOS, технологии Hotspot 2.0 и потенциальных опасностях, которые несут новые сети Wi-Fi в московском метро, слушайте в специальном выпуске подкаста BeardyCast с участием экспертов по сетевой безопасности и архитектора-аналитика «МаксимаТелеком» Сергея Вахотина.

Слушать на других платформах:

0
10 комментариев
Популярные
По порядку
Написать комментарий...
Gennady Aleksandrov

А зачем это Thawte CA Cert подменять?

Ответить
0
Развернуть ветку
Любой якорь

Комментарий удален по просьбе пользователя

Ответить
7
Развернуть ветку
Mikhail

Чтобы встраивать рекламу в https трафик

Ответить
0
Развернуть ветку
Denis Kiselev

Госсертификаты для доступа в интернет. С защитой от хакеров.

Они все ближе!

Ответить
2
Развернуть ветку
Alexey Kott

Потом просто введут аналогичную приблуду для не-ios устройств и отрубят дефолтный MT_FREE.

Ответить
0
Развернуть ветку
Mikhail

А потом google, firefox и apple просто забанят этот сертификат, как случилось с казахсанским

Ответить
3
Развернуть ветку
El Negro

Ну и в жопу их. Мобильный интернет в метро тоже работает. Порой даже получше чем у Максимы. И без надоедливой рекламы по 4 ролика подряд.

Ответить
2
Развернуть ветку
Альбина Никитченко

Если этот протокол будет установлен, то как его удалить с устройства?

Ответить
0
Развернуть ветку
Rifat Kayumov

В настройках айфона можно просмотреть все установленные сертификаты. Настройки - основные - об этом устройстве - сертификаты. И там уже смотреть установленные сертификаты и удалять их

Ответить
2
Развернуть ветку
Альбина Никитченко

Отлично, спасибо. У меня пока нет никаких сертификатов.

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку
Читать все 10 комментариев
Сколько можно заработать на ютубе?

«Я бы в блогеры пошел» Удивляясь количеству просмотров всякой ерунды на Ютубе, я задался вопросом, а можно ли , не обладая супер пупер медийной известностью и миллионом просмотров, а так же каким-то безумным бюджетом для создания контента, заработать на Ютубе? Погуглив через своих знакомых на предмет близких людей, которые занимаются ютубом, я…

ЦБ предложил новые ограничения на криптовалюты в России — но владеть ими гражданам не запретят Статьи редакции

За операции с криптовалютой регулятор предлагает наказывать — но как именно, не указывает.

Тренды финтеха. Разработки, технологии и поиск новой ценности

За последние 10 лет свершилась настоящая революция в финансах. Произошла инфраструктурная перестройка, весь мир переехал на смартфоны с доступным и дешевым интернетом, что позволило появиться сотням финтех-компаний. Сегодня любая новая технология может быть использована для создания финансовых решений. Но только ли разработки будут влиять на…

Ничего не понятно, ничего не случилось: что Центробанк предложил делать с криптовалютами в России Статьи редакции

Если идеи регулятора примут, скорее всего, для физлиц ничего не изменится, но вести криптобизнес в стране будет сложно.

Часовая запись пресс-конференции Центробанка, на которой представили доклад
Кому нужен футбол в селе

Как «Кружок» и «Тинькофф» организовали футбольные сборы в Тамбовской области или история о спорте за пределами больших городов.

Фото: Филипп Задорожный / Stereotactic
«Делимобиль» добавил Tesla Model 3 в свой парк в Москве Статьи редакции

Аренда стоит от 24 рублей за минуту.

Как мы сделали интерактивный курс о том, чему нельзя научить в онлайне

Цифровые технологии сегодня всё чаще смешиваются с физическими объектами. Отсюда возникают примеры активностей в формате «фиджитал» (от англ. physical + digital). В статье мы рассказываем о том, как использовали такой подход в корпоративном обучении.

Как нанимают айтишников в США: что нужно знать до собеседования и когда вас точно не возьмут

Устроиться на работу в России относительно просто и понятно — ты видишь вакансию, откликаешься, у тебя что-то спрашивают, дают тестовое, потом проходишь одно собеседование и ты нанят. А вот в США всё устроено совсем по-другому — и требования, и первичный отбор, и процесс найма.

Два новых продукта в бете, кастомное хранилище и дешевый CDN

Дайджест продуктовых апдейтов, которые могут вас заинтересовать.

Rio innovation week – выступление АИМ, собственная криптовалюта для Рио-де-Жанейро и международное сотрудничество
Как бесплатно набрать 1600 подписчиков в телеграм-канал и подружиться с самыми амбициозными стартаперами vc.ru

Рассказываю, во что вылилась моя идея скрещивания «Трибуны» с Product Hunt, как я набирал подписчиков после первой публикации на vc.ru и насколько активно аудитория в Telegram следит за подборками лучших продуктов из «Трибуны».

null