Vorsicht vor Profilen
Auf dem iPhone sind Konfigurationsprofile fast alltäglich: Handyprovider nutzen sie, Firmen nutzen sie für die Geräte ihrer Mitarbeiter und regeln damit die Einstellungen und Rechte der Nutzer. Aber auch Geheimdienste machen sich die Macht der Profile zu nutze. Es gibt gute Gründe, weshalb Sie nicht jedes angebotene Profil annehmen sollten.
"Konfigurationsprofil" klingt harmlos nach iOS-Einstellungen oder nach Benutzerkonten. Im Kern geht es auch um Einstellungen. Dabei sind diese Profile sehr mächtig. Provider nutzen diese gerne, um bestimmte Einstellungen festzulegen.
Konfigurationsprofile regeln grundlegende Einstellungen wie den richtigen Zugang zum APN, also dem Internetzugang des Anbieters. Oft geht ein solches Providerprofil aber noch viel weiter: Beispielsweise, dass der Nutzer die Funktion "Wi-Fi-Hotspot" in seinem Tarif nicht nutzen kann, obwohl iOS dies eigentlich ermöglicht.
Handyanbieter legen oft auch weitere Einstellungen fest. Darf der Nutzer UMTS ausschalten? Hier wird deutlich: Konfigurationsprofile sind sehr mächtig und können viele Dinge auf dem iPhone sperren oder verändern.
Profile am iPhone
Auf dem iPhone gibt es zwei Arten von "Profilen":
Konfigurationpsprofile, die iPhone-Einstellungen definieren und "Provisioning-Profile", die es erlauben, Anwendungen zu installieren, die nicht im App Store erhältlich sind. Installierte Profile finden Sie auf Ihrem iPhone unter "Einstellungen > Allgemein > Profile" (weit unten). Es gibt aber auch versteckt installierte Profile.
Missbrauch möglich
Die vielen Konfigurationsmöglichkeiten sind zugleich auch eine Gefahr. Denn wir können uns ohne Probleme das iPhone eines Bekannten schnappen und in 30 Sekunden ein vorkonfiguriertes Profil installieren, ihn so aus seinem eigenen iPhone aussperren. Mit den letzten Versionen von iOS hat Apple etwas nachgebessert: auf dem iPhone oder iPad muss der Nutzer bestätigen, dass er dem Rechner vertraut. Ohne Passcode-Eingabe geht das logischerweise nicht. Mit Hilfsmitteln wie Apples "Apple Configurator 2" ist die Installation des Profils kinderleicht möglich. Zuvor haben wir uns mit einigen Klicks ein restriktives Profil angelegt.
Apps installieren oder auch nur öffnen? Ist damit nicht mehr möglich. Unterwegs im Web surfen? Wir haben den Zugang unumkehrbar auf Quatschdaten geändert. iTunes Store, iBooks, iCloud oder das nervige Profil wieder löschen? Haben wir alles verboten!
Es ist auch möglich, solche Profile per Mail an jemanden zu schicken. Der Empfänger muss dieses allerdings öffnen und akzeptieren. Ein solches Profil sollten Sie niemals akzeptieren, wenn Sie nicht wissen, warum Sie es erhalten (beispielsweise von Ihrer IT-Abteilung). Die Beschreibung vor der Installation weist nur grob darauf hin, was das Profil mit dem iPhone anstellt.
Software einschleusen
Weniger bekannt als Konfigurationsprofile und ebenfalls kritisch sind die Provisioning-Profile. Diese sind dazu gedacht, um Software am App Store vorbei auf einem iPhone zu installieren. Im Normalfall ist das ganz harmlos. Entwickler verteilen so beispielsweise Vorabversionen ihrer Apps, damit Medien wie die Macwelt sie ausprobieren können.
So weit, so ungefährlich. Gleichzeitig können solche Profile aber auch Einfallstor für weniger willkommene Software sein. Die Spionagesoftware " Finfisher", die Kommunikation überwacht und verrät, funktioniert über ein solches Provisioning-Zertifikat auch auf dem iPhone. Dazu muss der Angreifer die Gerätenummer (UDID) des Ziel-iPhone kennen und ein Zertifikat dafür ausstellen. Mit iOS 9 und Xcode 7 gibt es noch eine zusätzliche Möglichkeit, mit der bekannten Apple-ID so ein Profil zu erstellen.
Laut Sicherheitsanalysten ist diese Software als Link in fingierten E-Mails als "Testapp" oder direkt vom Angreifer auf die Geräte gelangt. Dies ist keine allgemeine Gefahr für Nutzer, zeigt jedoch, dass auch auf dem vermeintlich sicheren und geschlossenen iPhone Trojaner installiert werden können.
Gegenmaßnahmen
Es gibt einige einfache Tipps, mit denen Sie Ihr iPhone vor fiesen Profilen schützen können. Ganz wichtig: Niemals einfach bestätigen, wenn ein Profil auf Ihrem iPhone-Bildschirm auftaucht und sich installieren möchte. Schauen Sie genau hin, was das Profil verändern will. Ein Konfigurationsprofil kann nützlich sein, aber auch Nachteile mit sich bringen (siehe oben).
Deshalb Beschreibung genau lesen, im Zweifelsfall ablehnen. Denn wenn ein Profil erst einmal installiert ist, können Sie es unter Umständen nicht mehr löschen. Wenn Sie nicht sicher sind: Ablehnen!
Allgemeiner Grundsatz für diejenigen, die ganz sicher gehen wollen: Das iPhone nicht aus der Hand geben, stets mit einer (längeren) Codesperre versehen. Das erschwert es demjenigen, der hinter Ihrem Rücken ein fremdes Profl installieren will. Selbstverständlich ist es sehr unwahrscheinlich, dass Ihnen jemand Schnüffelsoftware auf das iPhone laden will oder Ihnen einen Streich spielt und Ihr iPhone sperrt. Möglich ist das jedoch durchaus – mit einfachen Mitteln.
(Macwelt/ad)