Auf einem iPhone können Angreifer eigene Konfigurationsdateien platzieren und sich damit Zugang zu dem Smartphone verschaffen. Eine entsprechende Anleitung kursiert im Internet.
Nach Informationen des IT-News-Portals The Register sind in Weblogs Anleitungen aufgetaucht, in denen beschrieben wird, wie ein Hacker aus der Ferne die Konfigurationseinstellungen eines iPhone manipulieren kann. Die Angreifer bedienen sich dabei einer Funktion, die es eigentlich Firmen erleichtern sollte, die hauseigenen IT-Sicherheitsregeln auf die Smartphones von Apple zu übermitteln.
Der Trick: Der Angreifer erzeugt eine Konfigurationsdatei auf Basis von XML und signiert diese mit einem SSL-Zertifikat. Dieses wird einer fiktiven Firma namens »Apple Computer« zugeordnet. Bei dieser handelt es sich allerdings nicht um den iPhone-Hersteller. Der firmiert unter Apple, Inc.
Das iPhone prüft beim Empfang des Files nur, ob dieser von einer bekannten Zertifizierungsstelle (Certificate Authority) signiert wurde. Wenn ja, wird die Datei akzeptiert und auf dem mobilen Gerät ausgeführt.