iOS-hacker en beveiligingsonderzoeker Pod2g heeft een grote sms-beveiligingsfout met de iPhone ontdekt die zou kunnen leiden tot spoofing van sms-berichten. Het probleem zit hem in de manier waarop de iPhone omgaat met sms-berichten, en het is aanwezig in de nieuwste versie van iOS - inclusief de iOS 6 bèta 4-release. Pod2g houdt echter vol dat hij Apple smeekt om het te laten repareren.
In een bericht op zijn blog legt Pod2g het probleem uit en waarom het een specifiek probleem is met de iPhone:
Een sms-bericht is in feite een paar bytes aan gegevens die worden uitgewisseld tussen twee mobiele telefoons, waarbij de provider de informatie transporteert. Wanneer de gebruiker een bericht schrijft, wordt het door de mobiel geconverteerd naar PDU (Protocol Description Unit) en doorgegeven aan de basisband voor bezorging.
[…] In de tekstlading is een sectie met de naam UDH (User Data Header) optioneel, maar definieert veel geavanceerde functies waarmee niet alle mobiele telefoons compatibel zijn. Een van deze opties stelt de gebruiker in staat om het antwoordadres van de tekst te wijzigen. Als de bestemmingsmobiel ermee compatibel is, en als de ontvanger de tekst probeert te beantwoorden, reageert hij niet op het originele nummer, maar op het opgegeven nummer.
De meeste providers controleren dit deel van het bericht niet, wat betekent dat men in dit gedeelte kan schrijven wat hij wil: een speciaal nummer zoals 911, of het nummer van iemand anders.
Waarom is dit een probleem met de iPhone? Omdat je op de iPhone, wanneer je een sms ontvangt, alleen het "reply-to" -nummer ziet - niet het originele nummer. Pod2g geeft vervolgens een aantal voorbeelden waarin dit een serieus beveiligingsprobleem zou kunnen zijn.
Het kan bijvoorbeeld worden gebruikt om phishing te verzenden die van uw bank lijkt te komen, maar in werkelijkheid naar een andere ontvanger gaat wanneer u antwoordt.
Het is onduidelijk hoe gemakkelijk het is voor hackers om uw berichten te onderscheppen, maar Pod2g beschouwt dit als een "ernstige" beveiligingsfout. Hij legde ook uit dat hij er zeker van is dat andere beveiligingsonderzoekers al op de hoogte zullen zijn van het probleem, en "ook enkele piraten".
Bron: Pod2g
Via: iDownloadBlog
