苹果的iOS远没有Windows那么容易受到恶意软件的攻击，但它并不是完全不受攻击的。“配置文件”是感染iPhone或iPad的一种可能方式，只需下载文件并同意提示即可。

这个漏洞在现实世界中没有被利用。这不是你应该特别担心的事情，但它提醒你没有一个平台是完全安全的。

什么是配置配置文件(a configuration profile)？

配置文件是用苹果的iPhone配置实用程序创建的。它们适用于IT部门和移动运营商。这些文件具有.mobileconfig文件扩展名，基本上是将网络设置分发到iOS设备的一种简单方法。

例如，配置文件可以包含Wi-Fi、VPN、电子邮件、日历，甚至密码限制设置。IT部门可以将配置文件分发给员工，使他们能够快速配置设备以连接到公司网络和其他服务。蜂窝运营商可以分发包含其接入点名称（APN）设置的配置配置文件，允许用户在其设备上轻松配置蜂窝数据设置，而无需手动输入所有信息。

到目前为止，还不错。然而，从理论上讲，恶意用户可以创建自己的配置文件并分发它们。该配置文件可以将设备配置为使用恶意代理或VPN，从而有效地允许攻击者监视网络上的所有内容，并将设备重定向到钓鱼网站或恶意页面。

配置文件还可以用于安装证书。如果安装了恶意证书，攻击者可以有效地模拟银行等安全网站。

如何安装配置文件

配置概要文件可以以几种不同的方式分布。最受关注的方式是电子邮件附件和网页上的文件。攻击者可以创建一封仿冒电子邮件（可能是一封有针对性的矛式仿冒电子邮件），鼓励公司员工安装附在电子邮件上的恶意配置文件。或者，攻击者可以设置一个试图下载配置文件的仿冒网站。

下载配置文件时，iOS将显示有关配置文件内容的信息，并询问您是否要安装配置文件。只有选择下载并安装恶意配置文件时，您才有风险。当然，现实世界中的许多计算机受到感染是因为用户同意下载并运行恶意文件。

相关：并非所有“病毒”都是病毒：10个恶意软件术语解释

配置文件只能以有限的方式感染设备。它不能像病毒或蠕虫那样复制自己，也不能像rootkit那样隐藏自己。它只能将设备指向恶意服务器并安装恶意证书。如果删除配置文件，有害的更改将被删除。

管理已安装的配置文件

打开iPhone、iPad或iPod Touch上的“设置”应用程序，点击“常规”类别，即可查看是否安装了任何配置文件。查找列表底部附近的Profile选项。如果在“常规”窗格中看不到，则表示没有安装任何配置文件。

如果确实看到该选项，可以点击它查看已安装的配置文件，检查它们，并删除任何不需要的配置文件。

使用托管iOS设备的企业可以阻止用户在其设备上安装其他配置文件。企业还可以查询其托管设备，查看是否安装了其他配置文件，并在需要时远程删除这些配置文件。使用托管iOS设备的企业可以确保这些设备不会受到恶意配置文件的感染。

这更像是一个理论上的漏洞，因为我们不知道有人在积极利用它。不过，这表明没有任何设备是完全安全的。在下载和安装可能有害的东西时，无论它们是Windows上的可执行程序还是iOS上的配置文件，都应该小心谨慎。