Skycure a redécouvert que les profils de configuration iOS pouvaient représenter un risque de sécurité. Notamment utilisés en entreprise pour configurer rapidement des flottes d’appareils, ces profils peuvent obtenir des droits très étendus : dans de mauvaises mains, ils peuvent permettre la transmission d’informations privées vers un serveur distant.
Ces profils ne peuvent être installés à l’insu de l’utilisateur, il faut même deux taps pour en installer un. Avec un peu de mauvaise volonté, on peut néanmoins pousser l’utilisateur à le faire : il suffit de lui promettre de lui faire faire des économies de bande-passante ou de l’appâter avec la perspective de changer le nom de l'opérateur par une image, de lire des vidéos en Flash sur son iPhone ou d'activer une fonction sur une ancienne version d'iOS. Skycure imagine qu’un site se fasse passer pour une solution de streaming de séries TV qui ne fonctionne que si un profil est installé.
Il s’agit ici de profiter de la crédulité de l’utilisateur, comme le font les créateurs de phishing et de chevaux de Troie. Mais on peut imaginer que les serveurs d’une entreprise soient attaqués pour corrompre ses profils de configuration et extirper des informations des appareils des salariés. Skycure s’est même rendu compte que l’opérateur américain AT&T faisait installer des profils à ses clients partant à l’étranger sur un site tiers pouvant facilement être attaqué ou les installait en boutique sur un réseau Wi-Fi ouvert via une connexion non sécurisée.
Cette note de Skycure est donc l’occasion de rappeler que les profils de configuration sont potentiellement des outils dangereux. Ne les installez donc que si vous connaissez parfaitement leur provenance, de préférence sur une connexion sécurisée (HTTPS), et restez précautionneusement à l’écart de toutes les bidouilles plus ou moins fumeuses qui les utilisent.
