Jailbreak įsilaužėlis ir saugumo tyrinėtojas pod2g šiandien atskleidė naujai atrastą saugumo problemą visose „iOS“ versijose, kurios gali leisti kenkėjiškoms šalims klastoti SMS žinutes, priversdamos gavėją manyti, kad pranešimas gautas iš patikimo siuntėjo, nors iš tikrųjų jis atėjo iš kenkėjiškos šalies.
Problema susijusi su tuo, kaip iOS tvarko naudotojo duomenų antraštės (UDH) informaciją – pasirenkamą naudingojo teksto apkrovos skyrių, leidžiantį vartotojams nurodyti tam tikrą informaciją, pvz., pakeisti pranešimo atsakymo numerį į kitą nei siuntimo numerį. Jei „iPhone“ tvarko šią pasirenkamą informaciją, gavėjai gali būti atviri tikslinėms SMS klastojimo atakoms.
Teksto naudingojoje apkrovoje skyrius, vadinamas UDH (naudotojo duomenų antraštė), yra neprivalomas, tačiau apibrėžia daugybę išplėstinių funkcijų, su kuriomis ne visi mobilieji telefonai suderinami. Viena iš šių parinkčių leidžia vartotojui pakeisti atsakymo į tekstą adresą. Jei paskirties mobilusis telefonas yra suderinamas su juo, o gavėjas bando atsakyti į tekstą, jis atsakys ne į pradinį, o į nurodytą numerį.
Išsaugokite svetainę „iPhone“ pagrindiniame ekraneDaugelis operatorių netikrina šios pranešimo dalies, o tai reiškia, kad šioje skiltyje gali rašyti ką tik nori: specialų numerį, pvz., 911, arba kieno nors kito numerį.
Tinkamai įgyvendinus šią funkciją, gavėjas matys pradinį telefono numerį ir atsakymą į vieną. „IPhone“ įrenginyje, kai matote pranešimą, atrodo, kad jis ateina iš atsakymo į numerį, ir jūs [prarandate] informacijos apie kilmę.
„pod2g“ pabrėžia kelis būdus, kuriais kenkėjiškos šalys gali pasinaudoti šia klaida, įskaitant sukčiavimo bandymus, nukreipiančius vartotojus į svetaines, renkančias asmeninę informaciją, arba klastodamos pranešimus, siekiant sukurti melagingus įrodymus arba įgyti gavėjo pasitikėjimą, kad būtų galima imtis tolesnių nesąžiningų veiksmų.
Daugeliu atvejų kenkėjiška šalis turėtų žinoti gavėjo patikimo kontakto pavadinimą ir numerį, kad jos pastangos būtų veiksmingos, tačiau sukčiavimo pavyzdys rodo, kaip piktavališkos šalys gali apsimesti, kad apsimesdamos vartotojus gali apsimesti. bendras bankas ar kita įstaiga. Tačiau dėl problemos, dėl kurios gavėjams rodomas atsakymo adresas, ataka gali būti aptikta arba sutrukdyta tiesiog atsakant į pranešimą, nes grįžtamasis pranešimas būtų siunčiamas pažįstamam kontaktui, o ne kenkėjiškam.
Populiarios Temos