Jailbreak haker i istraživač sigurnosti pod2g danas otkrio novootkriveni sigurnosni problem u svim verzijama iOS-a koje bi mogle dopustiti zlonamjernim stranama da lažiraju SMS poruke, čineći primatelja pomisliti da je poruka stigla od pouzdanog pošiljatelja, dok je zapravo došla od zlonamjerne strane.
Problem je povezan s iOS-ovim rukovanjem informacijama zaglavlja korisničkih podataka (UDH), izbornim odjeljkom tekstualnog sadržaja koji korisnicima omogućuje da navedu određene informacije kao što je promjena broja za odgovor na poruku u nešto drugo osim broja za slanje. iPhoneovo rukovanje ovim izbornim informacijama moglo bi primatelje ostaviti otvorenim za ciljane napade lažiranja SMS-a.
U tekstualnom sadržaju, odjeljak pod nazivom UDH (User Data Header) nije obavezan, ali definira puno naprednih značajki s kojima nisu kompatibilni svi mobilni telefoni. Jedna od ovih opcija omogućuje korisniku promjenu adrese odgovora na tekst. Ako je odredišni mobitel s njim kompatibilan i ako primatelj pokuša odgovoriti na tekst, neće odgovoriti na izvorni broj, već na navedeni.
kako spremiti oznake u safarijuVećina mobilnih operatera ne provjerava ovaj dio poruke, što znači da u ovom odjeljku možete napisati što god želi: poseban broj poput 911 ili broj nekog drugog.
U dobroj implementaciji ove značajke, primatelj bi vidio izvorni telefonski broj i odgovor na jedan. Na iPhoneu, kada vidite poruku, čini se da dolazi s broja za odgovor i [izgubite] trag o porijeklu.
pod2g ističe nekoliko načina na koje bi zlonamjerne strane mogle iskoristiti ovu manu, uključujući pokušaje krađe identiteta koji povezuju korisnike s web-mjesta koja prikupljaju osobne podatke ili lažne poruke u svrhu stvaranja lažnih dokaza ili stjecanja povjerenja primatelja kako bi se omogućile daljnje zlobne radnje.
U mnogim slučajevima zlonamjerna strana trebala bi znati ime i broj pouzdanog kontakta primatelja kako bi njihovi napori bili učinkoviti, ali primjer krađe identiteta pokazuje kako bi zlonamjerne strane mogle baciti široke mreže u nadi da će uhvatiti korisnike pretvarajući se da su zajednička banka ili druga institucija. Ali s problemom koji je rezultirao primateljima koji bi dobili adresu za odgovor, napad bi se mogao otkriti ili spriječiti jednostavnim odgovorom na poruku, jer bi povratna poruka išla poznatom kontaktu, a ne zlonamjernom.
Popularni Postovi