デバイスにインストールする構成プロファイルで、不用意にインストールすると操作不能になり、強制的に復元させることができるプロファイルがあるようだ。
特に脱獄しているユーザーは、軽い気持ちで何気なくインストールしてしまうと、復元し入獄してしまうことになるので注意したいところだ。
フリーズやリンゴループするプロファイル
「OWObreak.me」は、悪意のある構成プロファイルが、iPhoneにどれほどの影響をあたえるのかを証明するウェブサイトである。これは、開発者であるJoseph Shenton氏によって「OWOBreak」というタイトルで開発されたページである。
特に、非脱獄ユーザーがモバイル構成プロファイルをよくインストールすることがあるが、脱獄ユーザーにとっても、一度インストールしてしまうと復元が必要となり、強制的に最新のiOSに更新されてしまうため非常に危険なものだ。
プロファイルをインストールすると…
- iPhone上に存在するすべての制限を有効
- パスワードポリシーの追加
- 長い名前のWebクリップを100万個デバイスにインストールする
- これによりデバイスが応答しなくなり(またはリンゴループ)、完全な復元が必要となる
このウェブサイトは、悪意のある構成プロファイルを証明するために作成したものなので、このウェブサイトにあるものは、実際には100万個のWebクリップではない。しかしそれでも殆どのデバイスは復元する必要があるほど十分危険であるため、テストしたい場合は使用していないデバイスで行ったほうがよいだろう。
ちなみに2つのプロファイルのうち、1つは6.9MB、もう1つはより強力で319.8MBとなっているようだ。ちなみに、これらの2つのプロファイルの違いは、インストールするWebクリップの数のようだ。6.9MB(22Webクリップ)、319.8MB(10,000Webクリップ)
デバイスを安全を保つには
このようなプロファイルがあることを理解し、ウェブ上にある怪しいプロファイルは絶対にインストールしないようにすべきだろう。プロファイルの内容や開発元を常に確認することや、悪意のある第三者にプロファイルをインストールされてしまわないようにパスコードなども徹底したほうがよいだろう。
また、Joseph Shenton氏が悪意のあるプロファイルでユーザーに復元させることを強制することができることをAppleに報告済みであるようなので、プロファイルに関していくつか制限が追加されるかもしれない。
参考・情報
- https://twitter.com/JosephShentonAU/status/929800792692768768
- https://www.reddit.com/r/jailbreak/comments/7ctcdw/news_ios_maliciously_crafted_mobile_configuration/
- 週間Tweaks:ステータスバーの時刻をダブルタップで日付に切り替え「DateTap」など - 2018/02/12
- 週間Tweaks:iPhoneXでスワイプアップでロック「SwipeUpLockX」やドックをカスタマイズ「Marina」など - 2018/02/05
- 週間Tweaks:iPhoneXのアプリスイッチャーでスワイプでアプリ終了「EasySwitcherX」など - 2018/01/29