IOS Apple sama sekali tidak rentan terhadap malware seperti Windows, tetapi tidak sepenuhnya tahan. “Profil konfigurasi” adalah salah satu cara yang mungkin untuk menginfeksi iPhone atau iPad hanya dengan mengunduh file dan menyetujui perintah.
Kerentanan ini tidak dieksploitasi di dunia nyata. Ini bukan sesuatu yang harus Anda khawatirkan, tetapi ini adalah pengingat bahwa tidak ada platform yang sepenuhnya aman.
Profil konfigurasi dibuat dengan Utilitas Konfigurasi iPhone Apple. Mereka ditujukan untuk departemen TI dan operator seluler. File-file ini memiliki ekstensi file .mobileconfig dan pada dasarnya merupakan cara mudah untuk mendistribusikan pengaturan jaringan ke perangkat iOS.
Misalnya, profil konfigurasi dapat berisi pengaturan Wi-Fi, VPN, email, kalender, dan bahkan pembatasan kode passcode. Departemen TI dapat mendistribusikan profil konfigurasi ke karyawannya, memungkinkan mereka untuk dengan cepat mengkonfigurasi perangkat mereka untuk terhubung ke jaringan perusahaan dan layanan lainnya. Operator seluler dapat mendistribusikan file profil konfigurasi yang berisi pengaturan nama jalur akses (APN), yang memungkinkan pengguna untuk dengan mudah mengkonfigurasi pengaturan data seluler pada perangkat mereka tanpa harus memasukkan semua informasi secara manual.
Sejauh ini baik. Namun, orang jahat dapat secara teoritis membuat file profil konfigurasi mereka sendiri dan mendistribusikannya. Profil dapat mengkonfigurasi perangkat untuk menggunakan proxy atau VPN jahat, secara efektif memungkinkan penyerang untuk memantau semua yang terjadi di jaringan dan mengalihkan perangkat ke situs web phishing atau halaman jahat.
Profil konfigurasi juga dapat digunakan untuk menginstal sertifikat. Jika sertifikat jahat dipasang, penyerang dapat secara efektif meniru situs web aman seperti bank.
Profil konfigurasi dapat didistribusikan dalam beberapa cara berbeda. Cara paling memprihatinkan adalah sebagai lampiran email dan sebagai file di halaman web. Seorang penyerang dapat membuat email phising (mungkin email spear-phishing yang ditargetkan) mendorong karyawan perusahaan untuk memasang profil konfigurasi berbahaya yang dilampirkan ke email. Atau, penyerang dapat membuat situs phishing yang mencoba mengunduh file profil konfigurasi.
Ketika profil konfigurasi diunduh, iOS akan menampilkan informasi tentang isi profil dan menanyakan Anda apakah Anda ingin menginstalnya. Anda hanya berisiko jika Anda memilih untuk mengunduh dan memasang profil konfigurasi berbahaya. Tentu saja, banyak komputer di dunia nyata terinfeksi karena pengguna setuju untuk mengunduh dan menjalankan file jahat.
Profil konfigurasi hanya dapat menginfeksi perangkat dengan cara terbatas. Ia tidak dapat mereplikasi dirinya sendiri seperti virus atau worm, juga tidak dapat menyembunyikan dirinya dari tampilan seperti rootkit. Ini hanya dapat mengarahkan perangkat ke server jahat dan menginstal sertifikat jahat. Jika profil konfigurasi dihapus, perubahan berbahaya akan dihapus.
Anda dapat melihat apakah Anda memiliki profil konfigurasi yang diinstal dengan membuka aplikasi Pengaturan di iPhone, iPad, atau iPod Touch dan mengetuk kategori Umum. Cari opsi Profil di dekat bagian bawah daftar. Jika Anda tidak melihatnya di panel General, Anda tidak memiliki profil konfigurasi apa pun yang diinstal.
Jika Anda melihat opsi ini, Anda dapat mengetuknya untuk melihat profil konfigurasi yang terinstal, memeriksanya, dan menghapus yang tidak Anda butuhkan.
Perusahaan yang menggunakan perangkat iOS yang dikelola dapat mencegah pengguna menginstal profil konfigurasi tambahan di perangkat mereka. Perusahaan juga dapat menanyakan perangkat mereka yang dikelola untuk melihat apakah mereka memiliki profil konfigurasi tambahan yang diinstal dan menghapusnya dari jarak jauh jika diperlukan. Perusahaan yang menggunakan perangkat iOS yang dikelola memiliki cara untuk memastikan perangkat tersebut tidak terinfeksi oleh profil konfigurasi berbahaya.
Ini lebih merupakan kerentanan teoretis, karena kita tidak mengetahui siapa pun yang secara aktif mengeksploitasinya. Namun, itu menunjukkan bahwa tidak ada perangkat yang sepenuhnya aman. Anda harus berhati-hati saat mengunduh dan menginstal hal-hal yang berpotensi membahayakan, apakah itu program yang dapat dieksekusi di Windows atau profil konfigurasi di iOS.
