Jailbreak hacker og sikkerhetsforsker pod2g i dag avslørte et nylig oppdaget sikkerhetsproblem i alle versjoner av iOS som kan tillate ondsinnede parter å forfalske SMS-meldinger, noe som får en mottaker til å tro at en melding kom fra en pålitelig avsender mens den faktisk kom fra den ondsinnede parten.
Problemet er relatert til iOSs håndtering av User Data Header-informasjon (UDH), en valgfri del av en tekstnyttelast som lar brukere spesifisere viss informasjon, for eksempel å endre svar-til-nummeret på en melding til noe annet enn avsendernummeret. iPhones håndtering av denne valgfrie informasjonen kan gjøre mottakere åpne for målrettede SMS-forfalskningsangrep.
I tekstnyttelasten er en seksjon kalt UDH (User Data Header) valgfri, men definerer mange avanserte funksjoner som ikke alle mobiler er kompatible med. Ett av disse alternativene gjør det mulig for brukeren å endre svaradressen til teksten. Hvis destinasjonsmobilen er kompatibel med den, og hvis mottakeren prøver å svare på teksten, vil han ikke svare på det opprinnelige nummeret, men på det spesifiserte.
hvordan få effekter på facetimeDe fleste operatører sjekker ikke denne delen av meldingen, noe som betyr at man kan skrive hva han vil i denne delen: et spesielt nummer som 911, eller nummeret til noen andre.
I en god implementering av denne funksjonen, vil mottakeren se det originale telefonnummeret og svar-til-nummeret. På iPhone, når du ser meldingen, ser det ut til at den kommer fra svarnummeret, og du [mister] oversikten over opprinnelsen.
pod2g fremhever flere måter som ondsinnede parter kan dra nytte av denne feilen på, inkludert phishing-forsøk som kobler brukere til nettsteder som samler inn personlig informasjon eller falske meldinger med det formål å skape falske bevis eller oppnå en mottakers tillit for å muliggjøre ytterligere ondsinnet handling.
I mange tilfeller vil den ondsinnede parten trenge å vite navnet og nummeret til en pålitelig kontakt til mottakeren for at deres innsats skal være effektiv, men phishing-eksemplet viser hvordan ondsinnede parter kan kaste brede nett i håp om å fange brukere ved å late som om de er en felles bank eller annen institusjon. Men med problemet som resulterte i at mottakere ble vist svar-til-adressen, kan et angrep bli oppdaget eller hindret ganske enkelt ved å svare på meldingen, da returmeldingen ville gå til den kjente kontakten i stedet for den ondsinnede.
Populære Innlegg