Українська правда

Apple визнала вразливість iPhone через SMS

20 серпня 2012, 09:18

Зловмисники можуть скористатися дірою в прошивках iPhone, щоб обдурити користувачів смартфонів Apple за допомогою різних схем фішингу.

Компанія Apple в суботу, 18 серпня, розповсюдила повідомлення, згідно з яким в смартфонах iPhone дійсно є уразливість, що дозволяє провести атаку, пов'язану з так званим SMS-спуффінгом, передає "Лігабізнесінформ".

Як передає CyberSecurity текст повідомлення компанії: "Коли користувачі використовують систему iMessage замість SMS, адреси верифікуються, що захищає їх від різного роду сміттєвих атак. Одне з обмежень SMS полягає в тому, що ця концепція допускає відправку повідомлення з підробленого адреси на будь-який телефон, тому ми закликаємо наших користувачів бути дуже обережними, якщо їм пропонується перейти на невідомий їм сайт у отриманому SMS-повідомленні".

На цьому тижні хакер, відомий як Pod2g і спеціалізується на джейлбреках для iOS, розповів про виявлення уразливості у всіх версіях прошивки для iPhone. Зловмисники можуть скористатися дірою, щоб обдурити користувачів смартфонів Apple за допомогою різних схем фішингу.

У порушенні безпеки винен спосіб, яким в iOS реалізована передача SMS-повідомлень. Як виявив хакер, SMS-платформа операційної системи замість того, щоб показувати безпосередньо номер, з якого було надіслано повідомлення, відображає адресу, на яку користувач повинен відправляти відповідь.

"У даній програмному середовищі є відділ, який називається UDH (Переспрямовувач користувальницької інформації). Ця система необов'язкова, але надає велику кількість просунутих функцій, з якими сумісні не всі мобільники. Одна з цих можливостей дозволяє змінювати адресу відповіді на своє повідомлення. Таким чином, якщо людина спробує відповісти на повідомлення, то він відправить СМС не на номер, з якого отримав його, а на той, який зазначений як адреса відповіді ", - пише Pod2g у своєму блозі.

Так як iOS показує саме адресу відповіді, а не реальний номер, з якого було надіслано повідомлення, шахраї можуть відправляти послання, наприклад, від імені банку.