Еще на прошлой неделе наш «старый знакомый» хакер Pod2G нашел уязвимость в стандартном приложении Сообщения.app из состава iOS, с помощью которой злоумышленник может подменить адрес отправителя SMS-ки и, представившись, скажем, банком или другим доверенным лицом, заполучить ваши конфиденциальные данные.

В своем блоге Pod2G описал несколько возможных сценариев использования данной уязвимости, включая попытки отправить пользователей на фишинговые сайты, собирающие персональную информацию, или так называемый спуфинг SMS-сообщений с целью получения доверия со стороны получателя для дальнейших не совсем честных действий.

Проблема заключается в том, как iOS обрабатывает данные User Data Header (UDH):

Секция UDH является опциональной, но определяет множество продвинутых возможностей, которые поддерживаются далеко не всеми мобильными телефонами. Одна из этих возможностей позволяет злоумышленнику изменять адрес отправителя текста. Если мобильник получателя поддерживает UDH, и он пытается ответить на такое сообщение, его ответ будет направлен не на оригинальный номер, а на телефон, указанный в UDH.

Большинство сотовых операторов не проверяют содержимое этой части SMS-сообщений, поэтому там можно написать все, что угодно: телефон экстренных служб или что-то еще.

При хорошей реализации этой функции получатель сможет увидеть оба телефонных номера. Но при просмотре такого сообщения в iPhone будет указан только тот номер, на который вы ответите, а оригинальный проследить уже не удастся.

Но самое интересное заключается в том, что данная уязвимость присутствует как в самых первых версиях iPhone OS, так и последних тестовых прошивках iOS 6.

Естественно, популярные технологические ресурсы обратились к Apple за комментариями, и один из них был опубликован ресурсом Engadget:

Apple очень серьезно относится к вопросам безопасности. При использовании iMessage вместо SMS адреса отправителей и получателей всегда проверяются, и это позволяет защититься от подобных атак. Одно из ограничений SMS заключается в том, что можно отправить сообщение с поддельного адреса на любой номер. Поэтому мы настоятельно рекомендуем пользователям быть очень аккуратными, если они направляются на неизвестные веб-сайты или адреса через SMS.

В принципе, позицию Apple можно понять: если вы не уверены, что SMS-сообщение пришло от доверенного абонента, лучше дважды подумать, прежде чем передать ему важную информацию. Но еще один вопрос остается без ответа — как общаться с людьми, у которых нет iPhone/iPad/Mac и, соответственно, iMessage?


Читайте также: