Сейчас профили не установлены

На прошлой неделе «МаксимаТелеком» в тестовом режиме запустила закрытую сеть Wi-Fi с использованием технологии Hotspot 2.0 в московском метро. В этой статье разбираемся, что это за технология и как она может повлиять на безопасность интернет-соединения пользователей.

Подключиться к новой сети Wi-Fi пока могут только пользователи iPhone и других iOS-устройств. Для этого нужно зайти на специальную страницу (на момент публикации статьи выдачу профилей приостановили) и установить оттуда профиль конфигурации.

Что такое профили конфигурации для устройств Apple

Профиль в iOS — это набор сконфигурированных настроек. Устанавливая профиль на своё устройство, вы применяете все зашитые в нём параметры. Так можно вносить изменения в том числе в скрытые настройки, конфигурация которых недоступна из стандартного пользовательского интерфейса.

Профили конфигурации — очень мощный инструмент. С их помощью можно устанавливать и настраивать приложения, устанавливать сертификаты безопасности, изменять настройки мобильной сети, настройки Wi-Fi, VPN и прокси, получать местонахождение пользователя и даже дистанционно заблокировать устройство или стереть с него все данные.

Для чего нужны профили конфигурации

У профилей на iOS множество применений. Например, школы и компании используют для управления корпоративными устройствами сотрудников и учеников.

Такие профили, которые используются для удалённого управления устройствами, называются MDM-профилями (Mobile Device Management).

Разработчики тоже активно используют профили — для установки непубличных бета-версий iOS или для установки приложений, которые отсутствуют в AppStore.

Также профили можно использовать для банальной конфигурации каких-то параметров, которые скрыты от пользователя, — как это и сделано в случае «МаксимаТелеком». Кстати, некоторые приложения, которые предоставляют доступ через VPN, тоже используют профили конфигурации в iOS.

Как и в случае почти с любой другой технологией, злоумышленники тоже могут использовать профили конфигурации. Установив соответствующий профиль на чьё-то устройство, они могут, например, подменить сертификат безопасности.

Последнее позволит перехватывать трафик, модифицировать контент на просматриваемых страницах, выполнять вредоносный код на устройстве, встраивать собственную рекламу в контент страниц.

Читайте также:  Прекращена работа dead island riptide

Вот что говорит об использовании профилей конфигурации в iOS для атаки на пользователей специалист по безопасности Алекс Пацай, автор блога alexmak.net и Telegram-канала «Информация опасносте»:

Список ограничений iOS, которые могут быть изменены на устройстве, числящимся в MDM-программе, довольно обширный и распространяется на различные возможности системы — от ограничений доступа к определённому приложению, какой-то службе системы или функции самой операционной системы.

Сама функция в первую очередь предполагает, что её будут использовать администраторы по управлению устройствами в рамках компании или учебного заведения. Например, из относительно безобидного, можно заблокировать возможность использовать камеру для съёмки фото или видео или запретить возможность делать скриншоты на устройстве.

Из более «строгих» — запрет установки приложений, запрет на использование приложений, форсированная установка приложений, включение глобальной HTTP-proxy или VPN-сервиса (например, с последующим перехватом трафика), вплоть до включения Activation Lock устройства, блокирующего его использование, с последующим удалением данных на устройстве.

К сожалению, применение MDM во вредоносных целях — не теория, а реальная практика.

Эксперты компании Talos в 2018 году обнаружили атаку, направленную на конкретных пользователей iPhone в Индии, с применением системы MDM для того, чтобы получить контроль над устройствами жертв.

Установка профиля, как правило, достигается методом социальной инженерии, в рамках которой жертву обманом уговаривают установить MDM-профиль.

После этого на устройства удалённо ставились модифицированные версии популярных приложений, включая Telegram и WhatsApp, и с их помощью злоумышленники получали информацию о местоположении пользователей, текстовые сообщения и другую личную переписку из этих сторонних приложений.

В связи с достаточно узким таргетингом не очень понятно, насколько подобная атака была успешной, но технологически эта схема, если удалось обмануть пользователя для установки MDM-профиля, вполне рабочая.

Чтобы пользователи понимали, какие профили ставить стоит, а какие нет, существует система подписывания профилей специальными сертификатами безопасности. Поэтому при установке профиля нужно очень внимательно смотреть на то, кто подписывал сертификат.

Если у вас возникают сомнения, доверять ли его автору, профиль устанавливать не стоит. Кроме сертификата также нужно смотреть, какие именно настройки изменяет профиль.

Зачем такая технология нужна в метро

Решение, которое предоставляет «МаксимаТелеком» в виде закрытой сети Wi-Fi, по своей сути, добавляет дополнительный уровень безопасности.

Читайте также:  Программы для электронной книги onyx

Если ранее любой, кто находился с вами в одном вагоне, мог с помощью несложных манипуляций перехватывать весь ваш незашифрованный трафик, то теперь это будет невозможно.

В закрытой сети у каждого пользователя есть свой логин и пароль для подключения, которые передаются с помощью установки профиля конфигурации. Таким образом, весь трафик зашифрован. В первую очередь этот подход обезопасит обмен трафиком, который не защищен с помощью SSL.

Сергей Вахотин, архитектор-аналитик «МаксимаТелеком» приводит следующие причины для запуска закрытой сети:

Этот проект родился в RnD-подразделении по результатам реакции на опроса пользователей, где 10% пользователей выражали обеспокоенность и избегала подключения к открытым сетям из-за вопросов безопасности. Основными рисками считаются создание фейковых точек доступа и отсутствие шифрования радиочасти.

Человеческий фактор и возможные риски

Хотя подход «МаксимаТелеком» и делает соединение пользователей более безопасным и в текущем виде работает в тестовом режиме (в дальнейшем изменение настроек будет происходить через приложение, а не с помощью установки профилей), он создаёт интересный прецедент.

Один из потенциальных минусов, которые он может за собой повлечь, связан как раз с практикой установки профилей конфигурации обычными пользователями. Если их приучат, что поставить какой-то профиль на своё iOS-устройство это рутинная задача, то это открывает много путей атаки для злоумышленников. И причина кроется не в самой технологии, а в людях.

Среднестатистический человек вряд ли будет обращать внимание на подпись сертификата профиля или разбираться, какие именно настройки будут применены. В большинстве случаев процесс будет идти по классическому пути «далее, далее, принимаю, согласен, далее, готово», несмотря на все предупреждения системы.

А следовательно, возрастает и вероятность того, что найдутся желающие поживиться за счёт невнимательных пользователей. Например, с помощью распространения собственных фальшивых профилей под видом настроек для сети Wi-Fi или ещё чего-либо.

С увеличением количества сервисов, которые будут требовать изменение настроек через установку профилей, особенно в таких массовых местах как метро, важным аспектом становится донесение до людей важности внимательной проверки профилей и серьезности возможных последствий.

Ведь люди до сих пор в больших количествах попадаются на фишинг, сами устанавливают левые приложения, майнеры криптовалют и продолжают жевать кактус самым разными способами.

Читайте также:  Серийный номер 3д макс 2017

Подробнее о профилях конфигурации в iOS, технологии Hotspot 2.0 и потенциальных опасностях, которые несут новые сети Wi-Fi в московском метро, слушайте в специальном выпуске подкаста BeardyCast с участием экспертов по сетевой безопасности и архитектора-аналитика «МаксимаТелеком» Сергея Вахотина.

Узнайте, как установить профиль в iOS 12.2 или более поздней версии.

Если профиль конфигурации загружен с веб-сайта или письма электронной почты в iOS 12.2 или более поздней версии, включая профили для регистрации в программе управления мобильными устройствами, необходимо перейти в программу «Настройки» и установить его.

Установка профиля

После загрузки профиля* отобразится сообщение «Профиль загружен». Чтобы установить профиль, выполните указанные ниже действия.

  1. Откройте программу «Настройки».
  2. Нажмите «Профиль загружен».
  3. Нажмите «Установить» в правом верхнем углу, а затем следуйте инструкциям на экране.

* За один раз можно установить только один профиль. Например, если вы загрузили профиль и не установили его, а затем загрузили второй профиль, для установки будет доступен только второй профиль. Если не установить профиль в течение 8 минут после загрузки, он автоматически удаляется.

Сведения о профилях, устанавливаемых с помощью управления мобильными устройствами

Если вы являетесь системным администратором, вы можете устанавливать профили без взаимодействия с пользователем на устройства, зарегистрированные в в программе управления мобильными устройствами (MDM). Чтобы зарегистрировать устройство в программе MDM, используйте Apple School Manager или Apple Business Manager либо установите профиль для регистрации вручную.

Запускаю проект на эмуляторе, все работает нормально.

Пытаюсь запустить на реальном устройстве, выдает сообщение, данное приложение от несертифицированного разработчика

Ну и после чего предлагает в настройках системы необходимо дать разрешение на запуск приложения.

Иду в настройки, но в настройках отсутствует пункт меню: Профили и управление устройством.

Я так понимаю, что данный пункт меню появляется только в том случае, если в систему загружен профиль (сертификат). Т.е. значит сейчас при установке сертификат не устанавливается? Но почему, и как исправить это?

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>