Jailbreak häkker ja turvauurija pod2g täna paljastas äsja avastatud turvaprobleemi kõigis iOS-i versioonides, mis võimaldavad pahatahtlikel osapooltel SMS-sõnumeid võltsida, pannes adressaadi arvama, et sõnum pärineb usaldusväärselt saatjalt, kuigi see tuli tegelikult pahatahtlikult osapoolelt.
Probleem on seotud sellega, kuidas iOS töötleb kasutajaandmete päise (UDH) teavet, mis on teksti kasuliku koormuse valikuline jaotis, mis võimaldab kasutajatel määrata teatud teavet, näiteks muuta sõnumi vastuse numbrit millekski muuks kui saatenumbriks. See, et iPhone käsitleb seda valikulist teavet, võib jätta adressaadid avatuks sihitud SMS-i võltsimise rünnakutele.
Teksti kasulikus koormuses on jaotis nimega UDH (kasutajaandmete päis) valikuline, kuid see määratleb palju täiustatud funktsioone, millega kõik mobiiltelefonid ei ühildu. Üks neist valikutest võimaldab kasutajal muuta teksti vastuse aadressi. Kui sihtmobiil on sellega ühilduv ja kui vastuvõtja proovib tekstile vastata, ei vasta ta mitte algsele numbrile, vaid määratud numbrile.
millal ipad mini 5 välja tuliEnamik operaatoreid ei kontrolli seda sõnumi osa, mis tähendab, et sellesse jaotisse võib kirjutada mida iganes soovib: erinumbri, näiteks 911, või kellegi teise numbri.
Selle funktsiooni hea rakendamise korral näeks vastuvõtja algset telefoninumbrit ja vastusnumbrit. Kui näete iPhone'is sõnumit, näib, et see pärineb vastusnumbrilt ja te [kaotate] päritolu jälgimise.
pod2g tõstab esile mitmeid viise, kuidas pahatahtlikud osapooled saaksid seda viga ära kasutada, sealhulgas andmepüügikatsed, mis viivad kasutajaid isikuandmeid koguvatele saitidele või võltsivad sõnumeid, et luua valetõendeid või võita adressaadi usaldust, et võimaldada edasisi alatuid tegevusi.
Paljudel juhtudel peaks pahatahtlik osapool teadma adressaadi usaldusväärse kontakti nime ja numbrit, et nende jõupingutused oleksid tõhusad, kuid andmepüügi näide näitab, kuidas pahatahtlikud osapooled võivad levitada võrke, lootes end teeseldes kasutajaid lõksu püüda. ühine pank või muu asutus. Kuid probleemi tõttu, mille tulemusel näidatakse adressaatidele vastusaadressi, saab rünnaku avastada või selle nurjata lihtsalt sõnumile vastamisega, kuna vastussõnum läheks pigem tuttavale kui pahatahtlikule kontaktile.
Lemmik Postitused