Heker za begu iz zapora in varnostni raziskovalec pod2g danes razkrila na novo odkrito varnostno težavo v vseh različicah iOS-a, ki bi lahko zlonamernim strankam omogočili lažiranje sporočil SMS, zaradi česar prejemnik misli, da je sporočilo prišlo od zaupanja vrednega pošiljatelja, medtem ko je v resnici prišlo od zlonamerne osebe.
Težava je povezana z iOS-ovim ravnanjem z informacijami o glavi uporabniških podatkov (UDH), izbirnem delu besedilnega tovora, ki uporabnikom omogoča, da določijo določene informacije, kot je sprememba številke za odgovor na sporočilo v nekaj drugega kot številko za pošiljanje. Obravnavanje teh izbirnih informacij v iPhoneu bi lahko pustilo prejemnike odprte za ciljne napade lažnega sporočila SMS.
V koristnem besedilu je razdelek z imenom UDH (User Data Header) neobvezen, vendar opredeljuje številne napredne funkcije, s katerimi niso združljivi vsi mobilni telefoni. Ena od teh možnosti omogoča uporabniku, da spremeni naslov odgovora na besedilo. Če je ciljni mobilni telefon z njim združljiv in če prejemnik poskuša odgovoriti na besedilo, se ne bo odzval na prvotno številko, temveč na določeno številko.
naj kupim iphone 12Večina operaterjev tega dela sporočila ne preveri, kar pomeni, da lahko v ta razdelek napišemo kar hočemo: posebno številko, kot je 911, ali številko nekoga drugega.
Pri dobri izvedbi te funkcije bi prejemnik videl izvirno telefonsko številko in odgovor na eno. Na iPhoneu, ko vidite sporočilo, se zdi, da prihaja iz številke za odgovor in [izgubite] sledi izvoru.
pod2g izpostavlja več načinov, na katere bi zlonamerne osebe lahko izkoristile to pomanjkljivost, vključno s poskusi lažnega predstavljanja, ki povezujejo uporabnike s spletnimi mesti, ki zbirajo osebne podatke, ali lažnimi sporočili za namene ustvarjanja lažnih dokazov ali pridobivanja zaupanja prejemnika, da bi omogočili nadaljnje zlobno dejanje.
V mnogih primerih bi zlonamerna stranka morala poznati ime in številko prejemnikovega zaupanja vrednega stika, da bi bila njihova prizadevanja učinkovita, vendar primer lažnega predstavljanja kaže, kako bi zlonamerne strani lahko posredovale široke mreže v upanju, da bodo uporabnike zajele tako, da se pretvarjajo, da so skupna banka ali druga institucija. Toda zaradi težave, zaradi katere se prejemnikom prikaže naslov za odgovor, bi lahko napad odkrili ali preprečili preprosto z odgovorom na sporočilo, saj bi povratno sporočilo šlo na znani stik in ne na zlonamernega.
Priljubljene Objave