Phishingaanval op iPhone-gebruikers via configuratieprofiel
IPhone-gebruikers zijn het doelwit van een phishingaanval geworden waarbij aanvallers het slachtoffer zover proberen te krijgen om een configuratieprofiel te installeren. Configuratieprofielen zijn eigenlijk bedoeld voor ontwikkelaars en beheerders en maken het mogelijk om allerlei instellingen aan te passen.
Het gaat dan bijvoorbeeld om netwerkinstellingen, maar ook de installatie van certificaatautoriteiten (pdf). Antivirusbedrijf Kaspersky Lab ontdekte onlangs een phishingaanval waarbij iPhone-gebruikers naar een kwaadaardige pagina worden doorgestuurd. Dit is bijvoorbeeld mogelijk via gecompromitteerde routers. De pagina vraagt gebruikers om vanwege een "network security upgrade" een configuratieprofiel te installeren en daarna opnieuw in te loggen.
Na de installatie van het configuratieprofiel, waarbij ook een certificaatautoriteit wordt geïnstalleerd, wordt de phishingsite automatisch geladen en verzamelt informatie over het toestel, waaronder productversie, apparaatversie, UDID en IMEI. Zodra de gegevens zijn ingevoerd wordt het slachtoffer naar een volgende pagina doorgestuurd die de tweefactorauthenticatiecode probeert te stelen die naar het toestel is gestuurd. Met deze gegevens kunnen de aanvallers het Apple ID van het slachtoffer overnemen. IOS-gebruikers krijgen dan ook het advies om geen configuratieprofielen van onbetrouwbare derde partijen te installeren.
Je moet als hardware fabrikant ook wel heel bewust of voor profs toch te onzorgvuldig alle van dit soort mogelijkheden benutbaar houden.
Anders gezegd;
Onderhand is ook zo'n beetje alle type chips wel een paar keer gecompromitteerd kunnen worden.
Ik heb het dus niet over tweakers die zelf met hun computer aan de slag gaan om iets te doen met onderdelen uit de doos duidelijk niet bedoeld zijn, ook niet over kopers die wachtwoorden op 1234 instellen of daarop ingesteld houden.
Wel over op afstand of na inpluggen hackbare apparatuur en software.
Dus, by default moeten onderdelen misschien zo zijn ingericht dat een serie van opeenvolgende handelingen misschien niet tot een security-breach kunnen leiden??
Niet out of the box, zeker niet nadat al enige updates zijn uitgebracht.
En ja, dat laatste zal misschien nog wel een veel grotere uitdaging zijn.
Maar misschien is dat de enige zorgvuldigheid bij ICT apparaten die stand kan houden de zorgvuldigheid die door ontwikkelaars wordt toegepast?
Ook als na een trits aan ontdekte kwetsbaarheden gebruikers hun apparaten hebben moeten updaten, dan klopt er wellicht toch minder van de gebruikte ontwikkelmethode dan dat beoogt en gehoopt was.
Een leiding van een reminstallatie van een auto hoort immers na onderhoud of software update ook niet alsnog te gaan lekken.
Hoe kan je controleren of een ouder iemand dit per ongeluk op zijn mobiel heeft?
Lol, als iemand jou om jouw bankpas en pincode vraagt en jij geeft die kan je niet zeggen dat pinnen onveiliger is geworden.
Ik begrijp uit je posting dat je geen liefhebber van Apple bent maar een dergelijke opm. raakt kant noch wal.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
