Konfigurationsprofile werden von Mobilfunkanbieter*innen, Mobile Device Management (Mobilgeräteverwaltung, MDM)-Lösungen und mobilen Apps verwendet, um Einstellungen auf Systemebene auf Apple Geräten zu konfigurieren. Einige häufige Verwendungszwecke für Konfigurationsprofile sind die Einstellung:
- Wi-Fi-Netzwerkverbindungen
- Sichere Parameter für VPN Service
- Zugang zum E-Mail-Dienst für Unternehmen
- Zugangspunktname (APN) für die Mobilfunkverbindung
- Härtende Konfigurationen für die Endpoint-Sicherheit
- Compliance Management und Durchsetzung
Dies ist nur eine kleine Auswahl der Gründe, warum IT-Administrator*innen bei der Verwaltung von Endpoints auf Konfigurationsprofile angewiesen sind. Wie bei jedem Tool, das bei rechtmäßiger Verwendung Vorteile bietet, können sie jedoch von Bedrohungsakteur*innen aus den falschen Gründen eingesetzt werden, um das Sicherheitsmodell von Apple zu umgehen und das Gerät eines Opfers durch die böswillige Verwendung von Profilen zu kompromittieren.
Häufige Bedrohungen, wie entdeckte Schwachstellen im Betriebssystem und in Apps, ermöglichen es Angreifer*innen oft, die beabsichtigten Zugriffsbeschränkungen zu umgehen und durch die Installation falscher Konfigurationsprofile die Persistenz weiter zu erhöhen. Wir werden die Auswirkungen dieser branchenweit anerkannten, wachsenden mobilen Bedrohung etwas später erörtern und Beispiele für Angriffe in freier Wildbahn aufzeigen. Lassen Sie uns zunächst einen genaueren Blick auf die Anatomie und die Auswirkungen werfen, die ein böswillig installierter Profilangriff auf die mobile Bedrohungsabwehrhaben kann.
Wie können Profile böswillig auf Geräten installiert werden?
Konfigurationsprofile können auf verschiedene Weise installiert werden. Ein Beispiel ist die Erstellung einer iOS basierten Konfigurationsdatei, die eine Zertifizierungsstelle (CA) und eine VPN-Tunnelkonfiguration enthält.
Die Verteilung von Konfigurationsprofilen wird nicht streng kontrolliert, sodass es für Angreifer*innen ein Leichtes ist, einen Link zu der bösartigen Nutzlast zu erstellen und ihre Opfer - beispielsweise über einen Phishing-Angriff - dazu zu bringen, darauf zu klicken, um die Installation zu starten. Häufig werden diese Angriffe mit Social Engineering kombiniert, um das Opfer dazu zu bringen, die Installationsaufforderung zu akzeptieren, indem es dazu gebracht wird, ein Sicherheitsproblem auf seinem Gerät zu beheben, oder indem ihm Zugang zu etwas Wertvollem versprochen wird.
Ein weiteres Beispiel für die böswillige Verbreitung von Profilen wird über einen anderen Angriffsvektor durchgeführt - einen Man-in-the-Middle-Angriff (MitM). MitM-Angriffe finden über eine Wi-Fi-Verbindung statt, bei der sich der Angreifer/die Angreiferin zwischen das Gerät des Opfers und das Internet schaltet und den Netzwerkverkehr über einen gefälschten Hotspot umleitet. Sobald der Angreifer/die Angreiferin sich Zugang verschafft hat, ist er in der Lage:
- Nutzeraktivitäten im Internet zu verfolgen
- Gesendete und empfangene Daten ausspionieren
- Navigation zu kompromittierten Hosts zu manipulieren
- Anmeldeinformationen für spätere Angriffe zu erbeuten
Bei anderen Angriffen mit Profil wird ein Proxy-Server verwendet oder die APN-Einstellungen werden geändert, um Angriffe auszuführen und gleichzeitig den bösartigen Datenverkehr zu verschleiern, indem auf einer viel niedrigeren Ebene als bei bekannten netzwerkbasierten Angriffen operiert wird (siehe Abbildung unten).
Welche Auswirkungen haben bösartige Profile auf Ihren Geräten?
Es bedeutet, dass ein böswillig installiertes Profil nicht vollständig vom Gerät eines Opfers entfernt werden kann. Ein betroffenes Gerät würde die Einstellungen des Konfigurationsprofils beibehalten, genau wie bei firmeneigenen Geräten, die so konfiguriert sind, dass eine manuelle Entfernung von Profilen verhindert wird, um die Einhaltung der organisatorischen Anforderungen durchzusetzen.
Wie bereits erwähnt, können Konfigurationsprofile u. a. Einstellungen für Wi-Fi, VPN, E-Mail, Kalender und Passcode-Einschränkungen enthalten. Böswillige Profile ermöglichen es einem Angreifer/einer Angreiferin, die vorhandenen Einstellungen auf einem Gerät zu ändern und so viele Sicherheitsmaßnahmen wie Härtungseinstellungen oder die Wirksamkeit von Endpoint-Sicherheitsapps zu beeinträchtigen. Dies schwächt nicht nur die Sicherheit des Geräts, sondern kann auch dazu beitragen, die Privatsphäre der Benutzer/die Benutzerin zu verletzen und Geschäftsdaten zu gefährden, indem alle transportierten Daten offengelegt werden. Sie gibt dem Angreifer/der Angreiferin weitgehende Kontrolle über jeden Aspekt eines betroffenen Geräts. Ein Profil könnte das Gerät beispielsweise so konfigurieren, dass es ein bösartiges VPN verwendet, wodurch der Angreifer/die Angreiferin Zugriff auf den gesamten Netzwerkverkehr zum und vom Gerät erhält, einschließlich der Umleitung von Anfragen von legitimen Diensten auf bösartige Seiten.
In einem anderen Beispiel wird eine bösartige Root-CA eines Drittanbieters/einer Drittanbieterin auf dem Gerät des Opfers installiert und als vertrauenswürdig eingestuft. So kann der Angreifer/die Angreiferin nicht nur den Datenverkehr inspizieren, sondern sich auch als sichere Website ausgeben. Außerdem können sie ein Zertifikat für eine beliebige Ressource erstellen, und der Endbenutzer/die Endbenutzerin wird nicht auf einen Fehler bei der Übereinstimmung zwischen der aufgerufenen Domäne und dem zur Überprüfung der Sicherheitseinstellungen verwendeten Zertifikat aufmerksam gemacht.
Als ob dies nicht schon besorgniserregend genug wäre, ist eine der schwerwiegendsten Auswirkungen etwas, das wir bereits bei den MitM-Angriffen angesprochen haben. Durch die Manipulation von Zertifikaten und Profilen können Bedrohungsakteur*innen eine lange Lebensdauer erreichen, indem sie das Gerät dazu bringen, dem Angreifer/der Angreiferin implizit zu vertrauen. Auf diese Weise wird zukünftigen Angriffen Tür und Tor geöffnet (d. h. Persistenz), ohne dass der Benutzer/die Benutzerin nach der ersten Kompromittierung des Geräts jemals wieder dazu aufgefordert wird.
Wie Sie Ihre Geräte vor bösartigen Profilen schützen können
Apple integriert Sicherheits- und Datenschutzmaßnahmen in seine Hard- und Software, um diese Art von Angriffen von vornherein zu erschweren. Trotz der Minimierung des Risikos, das diese Angriffe darstellen, passieren sie immer noch.
Die Benutzer*innen neigen dazu, alle Einstellungsdialoge zu übereilen, wenn sie versuchen, Zugang zum freien Internet zu erhalten, und übersehen dabei oft die Warnzeichen, um Unterbrechungen der Netzdienste zu vermeiden. Aus diesem Grund empfehlen wir die folgenden Schritte, um Ihre mobile Unternehmensflotte umfassend zu schützen:
- Stellen Sie eine erstklassige Lösung zur Abwehr mobiler Bedrohungen bereit, um sie vor Bedrohungen wie bösartigen Profilen, verdächtigen Apps oder riskantem Nutzerverhalten zu warnen und zu schützen.
- Stellen Sie sicher, dass Ihre Sicherheitslösung die Endpoints aktiv überwacht. Durch den Einblick in die Echtzeit-Telemetrie des Gerätezustands kann die IT-Abteilung veraltete Betriebssysteme oder bekannte Schwachstellen erkennen.
- Implementieren Sie netzwerkbasierte Sicherheitsmaßnahmen, um webbasierte Inhalte zu identifizieren und zu filtern, um den Zugriff auf Zero-Day-Phishing-URLs zu verhindern. Mit diesem Schutz werden Nutzdaten selbst dann blockiert, wenn Benutzer*innen auf bösartige Links klicken, und die Benutzer*innen werden auf Informationsseiten umgeleitet, auf denen die Bedrohung erklärt wird.
- Integrieren Sie die Endpoint-Sicherheit in Ihre MDM-Lösung , um die Kontrolle über die Bereitstellung wichtiger System-Patches und App-Updates zu erhalten und die Compliance der Endpoints zu gewährleisten.
- Automatisieren Sie die Bereitstellung von Geräten und ermöglichen Sie die Überwachung durch Apple Business Manager (oder Apple School Manager) Workflows. Damit kann die IT-Abteilung Konfigurationen sicher bereitstellen, ohne sich auf Benutzeraufforderungen zur Genehmigung verlassen zu müssen. Alles andere könnte ein möglicher Angriff sein und sollte sofort gemeldet werden.
- Wenn es notwendig ist, Out-of-Band-Profile zu installieren oder sie außerhalb des MDM-Frameworks bereitzustellen, sollten Administrator*innen die Konfigurationsprofile digital signieren und verschlüsseln, um sowohl ihre Herkunft zu validieren als auch die Datenintegrität zu schützen.
- Da dieser spezielle Angriff auf Social Engineering bei den Benutzer*innen beruht, hat sich gezeigt, dass laufende Benutzerschulungen das Risiko minimieren, indem sie die Benutzer*innen über Social Engineering-Bedrohungen aufklären.
- Führen Sie regelmäßige Audits des Endpointinventars durch und achten Sie dabei besonders auf Konfigurationsprofile oder installierte Apps, die nicht mit den Compliance-Anforderungen des Unternehmens übereinstimmen.
Zusammenarbeit mit der Industrie
Eine verantwortungsvolle Offenlegung ist uns bei Jamf wichtig.
Verantwortungsbewusste Sicherheitsforscher*innen geben Schwachstellen in den Medien bekannt oder halten Präsentationen ab, um ihre Erkenntnisse zu veröffentlichen, nachdem sie die Entwickler*innen eines betroffenen Betriebssystems oder einer betroffenen App informiert haben. Oft bedeutet dies, dass man mit den Entwickler*innen zusammenarbeitet und ihnen die nötige Vorlaufzeit zur Behebung des Problems einräumt.
Dies geschieht, um die Zeitspanne zu minimieren, die böswillige Akteur*innen haben könnten, um diese Schwachstellen auszunutzen, bevor eine Lösung verfügbar ist. Schließlich brauchen Entwickler*innen viel mehr Zeit, um eine Schwachstelle zu beheben, als Bedrohungsakteur*innen brauchen, um sie auszunutzen.
Wenn es darum geht, Schwachstellen aufzuspüren, gibt es verschiedene Faktoren, die Organisationen und Einzelpersonen dazu bewegen, diese zu finden und zu beheben. Oft tun sie dies für Geld oder um an Bug Bounties teilzunehmen. Einige Unternehmen bieten ein Bug Bounty an, um Forscher*innen zu ermutigen, Fehler zu finden und sie mit einer großzügigen Zahlung zu belohnen und belegte Funde diesen Personen zuzuschreiben. Auch Apple hat ein Security Bounty Programm , das Dritten und guten Internetnutzer*innen Anreize bietet, Sicherheitslücken, die auf ihren Plattformen gefunden werden, zum Wohle der Apple Community zu teilen.
Ganz gleich, ob ein Kopfgeld ausgesetzt ist oder nicht, die Zusammenarbeit in der Branche ist ein entscheidender Weg, um Schwachstellen schnell zu finden und anschließend zu beheben, insbesondere bei weit verbreiteten Plattformen wie macOS, iOS/iPadOS, nativen Apps und Cloud basierten Diensten, die von Apple betrieben werden.
Jamf Protect kann Ihr Gerät vor bösartigen Profilen und anderen Angriffen schützen.
Testen Sie Jamf zusammen mit nativen Apple Lösungen und Ihren Unternehmensrichtlinien - kostenlos!
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.