Jailbreak-hakkeri ja tietoturvatutkija pod2g tänään paljasti hiljattain löydetyn tietoturvaongelman kaikissa iOS-versioissa, jotka voivat antaa haitallisten osapuolten huijata tekstiviestejä, mikä saa vastaanottajan ajattelemaan, että viesti tuli luotetulta lähettäjältä, vaikka se itse asiassa tuli pahantahtoiselta osapuolelta.
Ongelma liittyy iOS:n UDH (User Data Header) -tietojen käsittelyyn, joka on valinnainen tekstin hyötykuorman osa, jonka avulla käyttäjät voivat määrittää tiettyjä tietoja, kuten muuttaa viestin vastausnumeron johonkin muuhun kuin lähetysnumeroon. Se, että iPhone käsittelee näitä valinnaisia tietoja, voi jättää vastaanottajat avoimeksi kohdistetuille tekstiviestihuijaushyökkäyksille.
Tekstin hyötykuormassa UDH (User Data Header) -niminen osio on valinnainen, mutta se määrittelee paljon edistyneitä ominaisuuksia, joiden kanssa kaikki matkapuhelimet eivät ole yhteensopivia. Yksi näistä vaihtoehdoista antaa käyttäjälle mahdollisuuden muuttaa tekstin vastausosoitetta. Jos kohdematkapuhelin on yhteensopiva sen kanssa ja jos vastaanottaja yrittää vastata tekstiin, hän ei vastaa alkuperäiseen numeroon, vaan määritettyyn numeroon.
milloin viimeinen macbook pro julkaistiinUseimmat operaattorit eivät tarkista viestin tätä osaa, mikä tarkoittaa, että tähän osioon voi kirjoittaa mitä haluaa: erikoisnumeron, kuten 911, tai jonkun muun numeron.
Tämän ominaisuuden hyvässä toteutuksessa vastaanottaja näkisi alkuperäisen puhelinnumeron ja vastauksen numeroon. iPhonessa, kun näet viestin, se näyttää tulevan vastausnumerosta ja [menetät] jäljityksen alkuperästä.
pod2g korostaa useita tapoja, joilla pahantahtoiset osapuolet voivat hyödyntää tätä puutetta, mukaan lukien tietojenkalasteluyritykset linkittää käyttäjät henkilökohtaisia tietoja kerääville sivustoille tai huijata viestejä tarkoituksena luoda vääriä todisteita tai saada vastaanottajan luottamus myöhempien ilkeiden toimien mahdollistamiseksi.
Monissa tapauksissa pahantahtoisen osapuolen on tiedettävä vastaanottajan luotetun yhteyshenkilön nimi ja numero, jotta heidän ponnistelunsa olisivat tehokkaita, mutta tietojenkalasteluesimerkki osoittaa, kuinka pahantahtoiset osapuolet voivat luoda laajoja verkkoja toivoen saavansa käyttäjiä ansaan teeskentelemällä yhteinen pankki tai muu laitos. Mutta koska ongelma johti siihen, että vastaanottajille näytetään vastausosoite, hyökkäys voidaan havaita tai estää yksinkertaisesti vastaamalla viestiin, koska vastausviesti menisi tutulle yhteyshenkilölle haitallisen henkilön sijaan.
Suosittu Viestiä