Хакер за бекство из затвора и истраживач безбедности под2г данас открио новооткривени безбедносни проблем у свим верзијама иОС-а које могу дозволити злонамерним странама да лажирају СМС поруке, чинећи примаоца да помисли да је порука стигла од пошиљаоца од поверења, а заправо је дошла од злонамерне стране.
Проблем је повезан са иОС-овим руковањем информацијама заглавља корисничких података (УДХ), опционим одељком текстуалног садржаја који омогућава корисницима да наведу одређене информације као што је промена броја за одговор на поруку у нешто друго осим броја за слање. Руковање овим опционим информацијама од стране иПхоне-а могло би оставити примаоце отвореним за циљане нападе лажирања СМС-а.
У текстуалном садржају, одељак под називом УДХ (Усер Дата Хеадер) је опциони, али дефинише много напредних функција са којима нису компатибилни сви мобилни телефони. Једна од ових опција омогућава кориснику да промени адресу за одговор на текст. Ако је одредишни мобилни компатибилан са њим, и ако прималац покуша да одговори на текст, неће одговорити на оригинални, већ на наведени број.
како да вратите апликацију на почетни екранВећина оператера не проверава овај део поруке, што значи да у овом одељку можете да напишете шта год жели: посебан број као што је 911 или број неког другог.
У доброј примени ове функције, прималац би видео оригинални телефонски број и одговор на један. На иПхоне-у, када видите поруку, чини се да долази са броја за одговор, а ви [губите] траг о пореклу.
под2г истиче неколико начина на које би злонамерне стране могле да искористе ову ману, укључујући покушаје крађе идентитета који повезују кориснике са сајтовима који прикупљају личне податке или лажне поруке у сврху стварања лажних доказа или стицања поверења примаоца како би се омогућиле даље злобне радње.
У многим случајевима злонамерна страна би морала да зна име и број поузданог контакта примаоца да би њихови напори били ефикасни, али пример пхисхинга показује како би злонамерне стране могле да пусте широке мреже надајући се да ће ухватити кориснике претварајући се да су заједничка банка или друга институција. Али са проблемом који доводи до тога да се примаоцима прикаже адреса за одговор, напад се може открити или осујетити једноставним одговором на поруку, јер би повратна порука ишла познатом контакту, а не злонамерном.
Популар Постс