Χάκερ Jailbreak και ερευνητής ασφάλειας pod2g σήμερα αποκάλυψε ένα πρόσφατα ανακαλυφθέν ζήτημα ασφάλειας σε όλες τις εκδόσεις του iOS που θα μπορούσαν να επιτρέψουν σε κακόβουλα μέρη να πλαστογραφούν μηνύματα SMS, κάνοντας έναν παραλήπτη να πιστεύει ότι ένα μήνυμα προήλθε από έναν αξιόπιστο αποστολέα ενώ στην πραγματικότητα προήλθε από το κακόβουλο μέρος.
Το ζήτημα σχετίζεται με τον χειρισμό των πληροφοριών της κεφαλίδας δεδομένων χρήστη (UDH) από το iOS, μιας προαιρετικής ενότητας ενός ωφέλιμου φορτίου κειμένου που επιτρέπει στους χρήστες να προσδιορίζουν ορισμένες πληροφορίες, όπως την αλλαγή του αριθμού απάντησης σε ένα μήνυμα σε κάτι διαφορετικό από τον αριθμό αποστολής. Ο χειρισμός αυτών των προαιρετικών πληροφοριών από το iPhone θα μπορούσε να αφήσει τους παραλήπτες ανοιχτούς σε στοχευμένες επιθέσεις πλαστογράφησης SMS.
Στο ωφέλιμο φορτίο κειμένου, μια ενότητα που ονομάζεται UDH (User Data Header) είναι προαιρετική, αλλά ορίζει πολλές προηγμένες λειτουργίες με τις οποίες δεν είναι συμβατά όλα τα κινητά. Μία από αυτές τις επιλογές δίνει τη δυνατότητα στον χρήστη να αλλάξει τη διεύθυνση απάντησης του κειμένου. Εάν το κινητό προορισμού είναι συμβατό με αυτό και εάν ο δέκτης προσπαθήσει να απαντήσει στο κείμενο, δεν θα απαντήσει στον αρχικό αριθμό, αλλά στον καθορισμένο.
πού πηγαίνουν τα ληφθέντα αρχεία στο iphoneΟι περισσότεροι πάροχοι δεν ελέγχουν αυτό το μέρος του μηνύματος, πράγμα που σημαίνει ότι κάποιος μπορεί να γράψει ό,τι θέλει σε αυτήν την ενότητα: έναν ειδικό αριθμό όπως το 911 ή τον αριθμό κάποιου άλλου.
Σε μια καλή εφαρμογή αυτής της δυνατότητας, ο δέκτης θα έβλεπε τον αρχικό αριθμό τηλεφώνου και την απάντηση σε έναν. Στο iPhone, όταν βλέπετε το μήνυμα, φαίνεται να προέρχεται από τον αριθμό απάντησης και [χάνετε] την προέλευση.
Το pod2g επισημαίνει διάφορους τρόπους με τους οποίους τα κακόβουλα μέρη θα μπορούσαν να εκμεταλλευτούν αυτό το ελάττωμα, συμπεριλαμβανομένων των προσπαθειών ηλεκτρονικού 'ψαρέματος' που συνδέουν χρήστες με ιστότοπους που συλλέγουν προσωπικές πληροφορίες ή πλαστογραφούν μηνύματα με σκοπό τη δημιουργία ψευδών αποδεικτικών στοιχείων ή την απόκτηση της εμπιστοσύνης ενός παραλήπτη για να επιτρέψουν περαιτέρω κακόβουλες ενέργειες.
Σε πολλές περιπτώσεις, το κακόβουλο μέρος θα πρέπει να γνωρίζει το όνομα και τον αριθμό μιας αξιόπιστης επαφής του παραλήπτη προκειμένου να είναι αποτελεσματικές οι προσπάθειές του, αλλά το παράδειγμα phishing δείχνει πώς τα κακόβουλα μέρη θα μπορούσαν να ρίξουν μεγάλα δίχτυα ελπίζοντας να παγιδεύσουν τους χρήστες προσποιούμενοι ότι είναι κοινή τράπεζα ή άλλο ίδρυμα. Όμως, με το πρόβλημα να εμφανίζεται στους παραλήπτες η διεύθυνση απάντησης, μια επίθεση θα μπορούσε να ανακαλυφθεί ή να αποτραπεί απλά απαντώντας στο μήνυμα, καθώς το μήνυμα επιστροφής θα πήγαινε στη γνωστή επαφή και όχι στην κακόβουλη.
Δημοφιλείς Αναρτήσεις