Jailbreak hakeris un drošības pētnieks pod2g šodien atklāja jaunatklātu drošības problēmu visās iOS versijās, kas varētu ļaut ļaunprātīgām pusēm viltot īsziņas, liekot adresātam domāt, ka ziņojums ir no uzticama sūtītāja, lai gan tas patiesībā ir no ļaunprātīgās puses.
Problēma ir saistīta ar to, kā iOS apstrādā lietotāja datu galvenes (UDH) informāciju, kas ir neobligāta teksta slodzes sadaļa, kas ļauj lietotājiem norādīt noteiktu informāciju, piemēram, mainīt ziņojuma atbildes numuru uz kaut ko citu, nevis sūtīšanas numuru. Tā kā iPhone apstrādā šo izvēles informāciju, adresāti var tikt pakļauti mērķtiecīgiem SMS viltošanas uzbrukumiem.
Teksta lietderīgajā slodzē sadaļa ar nosaukumu UDH (lietotāja datu galvene) nav obligāta, taču tajā ir noteiktas daudzas uzlabotas funkcijas, ar kurām ne visi mobilie tālruņi ir saderīgi. Viena no šīm opcijām ļauj lietotājam mainīt teksta atbildes adresi. Ja galamērķa mobilais ir ar to saderīgs un uztvērējs mēģina atbildēt uz īsziņu, viņš atbildēs nevis uz sākotnējo numuru, bet gan uz norādīto.
kad ir nākamais Apple pasākums 2021Lielākā daļa mobilo sakaru operatoru nepārbauda šo ziņojuma daļu, kas nozīmē, ka šajā sadaļā var ierakstīt visu, ko vēlas: īpašu numuru, piemēram, 911, vai kāda cita numuru.
Labi ieviešot šo funkciju, saņēmējs redzēs sākotnējo tālruņa numuru un atbildi uz vienu. iPhone tālrunī, kad redzat ziņojumu, šķiet, ka tas nāk no atbildes numura, un jūs [zaudējat] izcelsmi.
pod2g izceļ vairākus veidus, kā ļaunprātīgas puses varētu izmantot šo trūkumu, tostarp pikšķerēšanas mēģinājumi saistīt lietotājus ar vietnēm, kurās tiek apkopota personas informācija, vai viltot ziņojumus, lai radītu nepatiesus pierādījumus vai iegūtu adresāta uzticību, lai nodrošinātu turpmāku negodīgu rīcību.
Daudzos gadījumos ļaunprātīgai pusei būtu jāzina adresāta uzticamās kontaktpersonas vārds un numurs, lai viņu centieni būtu efektīvi, taču pikšķerēšanas piemērs parāda, kā ļaunprātīgas puses var izmest plašus tīklus, cerot ievilināt lietotājus, izliekoties par tādiem. kopīga banka vai cita iestāde. Taču, tā kā adresātiem tiek rādīta atbildes adrese, uzbrukums var tikt atklāts vai izjaukts, vienkārši atbildot uz ziņojumu, jo atbildes ziņojums tiks nosūtīts pazīstamajai kontaktpersonai, nevis ļaunprātīgajai.
Populārākas Posts