वास्तविक दुनिया में इस भेद्यता का शोषण नहीं किया जा रहा है। यह ऐसा कुछ नहीं है जिसके बारे में आपको विशेष रूप से चिंतित होना चाहिए, लेकिन यह एक अनुस्मारक है कि कोई मंच पूरी तरह से सुरक्षित नहीं है।
कॉन्फ़िगरेशन प्रोफाइल क्या है?
कॉन्फ़िगरेशन प्रोफाइल ऐप्पल की आईफ़ोन कॉन्फ़िगरेशन उपयोगिता के साथ बनाए जाते हैं। वे आईटी विभागों और सेलुलर वाहक के लिए हैं। इन फ़ाइलों में.mobileconfig फ़ाइल एक्सटेंशन है और आईओएस उपकरणों को नेटवर्क सेटिंग्स वितरित करने का अनिवार्य रूप से एक आसान तरीका है।
उदाहरण के लिए, कॉन्फ़िगरेशन प्रोफ़ाइल में वाई-फाई, वीपीएन, ईमेल, कैलेंडर और यहां तक कि पासकोड प्रतिबंध सेटिंग्स भी हो सकती हैं। एक आईटी विभाग कॉन्फ़िगरेशन प्रोफाइल को अपने कर्मचारियों को वितरित कर सकता है, जिससे वे अपने डिवाइस को कॉर्पोरेट नेटवर्क और अन्य सेवाओं से कनेक्ट करने के लिए त्वरित रूप से कॉन्फ़िगर कर सकते हैं। एक सेलुलर वाहक कॉन्फ़िगरेशन प्रोफाइल फ़ाइल को वितरित कर सकता है जिसमें इसका एक्सेस पॉइंट नाम (एपीएन) सेटिंग्स होती है, जिससे उपयोगकर्ता आसानी से सभी जानकारी दर्ज किए बिना सेलुलर डेटा सेटिंग्स को अपने डिवाइस पर कॉन्फ़िगर कर सकते हैं।
अब तक सब ठीक है। हालांकि, एक दुर्भावनापूर्ण व्यक्ति सैद्धांतिक रूप से अपनी कॉन्फ़िगरेशन प्रोफ़ाइल फ़ाइलों को बना सकता है और उन्हें वितरित कर सकता है। प्रोफ़ाइल डिवाइस को दुर्भावनापूर्ण प्रॉक्सी या वीपीएन का उपयोग करने के लिए कॉन्फ़िगर कर सकती है, जिससे हमलावर नेटवर्क पर जा रहे सब कुछ की निगरानी कर सकता है और डिवाइस को फ़िशिंग वेबसाइटों या दुर्भावनापूर्ण पृष्ठों पर रीडायरेक्ट कर सकता है।
प्रमाणपत्र स्थापित करने के लिए कॉन्फ़िगरेशन प्रोफाइल का भी उपयोग किया जा सकता है। यदि कोई दुर्भावनापूर्ण प्रमाणपत्र स्थापित किया गया था, तो हमलावर प्रभावी ढंग से बैंकों जैसी सुरक्षित वेबसाइटों का प्रतिरूपण कर सकता था।
कॉन्फ़िगरेशन प्रोफाइल कैसे स्थापित किया जा सकता है
कॉन्फ़िगरेशन प्रोफाइल कई अलग-अलग तरीकों से वितरित किया जा सकता है। सबसे अधिक प्रासंगिक तरीके ईमेल अनुलग्नक और वेब पृष्ठों पर फ़ाइलों के रूप में हैं। एक हमलावर एक फ़िशिंग ईमेल (शायद एक लक्षित भाला-फ़िशिंग ईमेल) बना सकता है जो किसी निगम के कर्मचारियों को ईमेल से जुड़ी एक दुर्भावनापूर्ण कॉन्फ़िगरेशन प्रोफ़ाइल स्थापित करने के लिए प्रोत्साहित करता है। या, एक हमलावर एक फ़िशिंग साइट सेट कर सकता है जो कॉन्फ़िगरेशन प्रोफ़ाइल फ़ाइल डाउनलोड करने का प्रयास करता है।
स्थापित कॉन्फ़िगरेशन प्रोफाइल प्रबंधित करना
आप देख सकते हैं कि आपके आईफोन, आईपैड, या आईपॉड टच पर सेटिंग्स एप खोलकर और सामान्य श्रेणी टैप करके आपके पास कोई कॉन्फ़िगरेशन प्रोफाइल स्थापित है या नहीं। सूची के नीचे प्रोफाइल विकल्प की तलाश करें। यदि आप इसे सामान्य फलक पर नहीं देखते हैं, तो आपके पास कोई कॉन्फ़िगरेशन प्रोफ़ाइल इंस्टॉल नहीं है।
यह एक सैद्धांतिक भेद्यता का अधिक है, क्योंकि हम सक्रिय रूप से इसका शोषण करने वाले किसी के बारे में नहीं जानते हैं। फिर भी, यह दर्शाता है कि कोई डिवाइस पूरी तरह से सुरक्षित नहीं है। संभावित रूप से हानिकारक चीजों को डाउनलोड और इंस्टॉल करते समय आपको सावधानी बरतनी चाहिए, चाहे वे विंडोज़ पर निष्पादन योग्य प्रोग्राम हों या आईओएस पर कॉन्फ़िगरेशन प्रोफाइल हों।