Jailbreak hacker és biztonságkutató pod2g ma egy újonnan felfedezett biztonsági problémát tárt fel Az iOS minden olyan verziójában, amely lehetővé teszi a rosszindulatú felek számára, hogy hamisítsák az SMS-üzeneteket, és azt gondolják a címzettnek, hogy az üzenet megbízható feladótól érkezett, holott az valójában a rosszindulatú féltől érkezett.
A probléma az iOS által kezelt felhasználói adatfejléc (UDH) információival kapcsolatos, amely a szöveges adathordozó opcionális része, amely lehetővé teszi a felhasználók számára, hogy megadjanak bizonyos információkat, például az üzenet válaszszámát a küldő számtól eltérőre módosítsák. Ha az iPhone kezeli ezeket az opcionális információkat, a címzettek nyitottak lehetnek a célzott SMS-hamisítási támadásokra.
A szöveges rakományban az UDH (User Data Header) nevű szakasz nem kötelező, de számos olyan speciális funkciót határoz meg, amelyekkel nem minden mobil kompatibilis. Ezen opciók egyike lehetővé teszi a felhasználó számára, hogy módosítsa a szöveg válaszcímét. Ha a célmobil kompatibilis vele, és a vevő megpróbál válaszolni a szövegre, akkor nem az eredeti számra válaszol, hanem a megadottra.
át tudod vinni a spotify lejátszási listát az Apple zenéreA legtöbb szolgáltató nem ellenőrzi az üzenetnek ezt a részét, ami azt jelenti, hogy az ember bármit írhat ebbe a szakaszba: egy speciális számot, például a 911-et, vagy valaki más számát.
Ennek a funkciónak a megfelelő megvalósítása esetén a címzett látni fogja az eredeti telefonszámot és a választ. Az iPhone készüléken, amikor látja az üzenetet, úgy tűnik, hogy az a válaszszámtól származik, és [elveszíti] az eredet nyomát.
A pod2g számos olyan módot emel ki, amellyel a rosszindulatú felek kihasználhatják ezt a hibát, beleértve az adathalász kísérleteket, amelyek a felhasználókat személyes adatokat gyűjtő webhelyekre irányítják, vagy hamis bizonyítékok előállítása vagy a címzett bizalmának elnyerése céljából üzeneteket hamisítanak.
Sok esetben a rosszindulatú félnek ismernie kell a címzett megbízható kapcsolattartójának nevét és számát ahhoz, hogy erőfeszítései eredményesek legyenek, de az adathalász példa azt mutatja, hogy a rosszindulatú felek hogyan vethetnek széles hálózatokat, abban a reményben, hogy tőrbe csalják a felhasználókat úgy, mintha közös bank vagy más intézmény. De mivel a probléma azt eredményezi, hogy a címzetteknek megjelenik a válaszcím, a támadás felfedezhető vagy meghiúsítható pusztán az üzenetre való válaszolással, mivel a válaszüzenet az ismerős kapcsolattartóhoz kerülne, nem pedig a rosszindulatúhoz.
Népszerű Bejegyzések