Hlavní navigace

Apple iOS umožňuje podvrhnout SMS

Daniel Dočekal

Nikdy nevěřte SMS, říká pod2g v upozornění na bezpečnostní nedostatek v Apple iOS. Ten je, podle objevitele, v iOSu dostupný už od samého počátku a je  přítomen i v poslední betě iOS 6. V zásadě jde o možnost, vložit do SMS vlastní číslo „odpovědět  kam“. Což v implementaci SMS na iOS povede k tomu, že takového číslo se příjemci ukáže jako číslo odkud pochází SMS – takže příjemce SMS na iPhone si může myslet, že SMS pochází od někoho koho (například) zná.

Nikdy nevěřte SMS, říká pod2g v upozornění na bezpečnostní nedostatek v Apple iOS. Ten je, podle objevitele, v iOSu dostupný už od samého počátku a je  přítomen i v poslední betě iOS 6. V zásadě jde o možnost, vložit do SMS vlastní číslo „odpovědět  kam“. Což v implementaci SMS na iOS povede k tomu, že takového číslo se příjemci ukáže jako číslo odkud pochází SMS – takže příjemce SMS na iPhone si může myslet, že SMS pochází od někoho koho (například) zná.

V praxi zneužitelné pro něco takového, jako nedávná akce Ztohoven známá pod názvem „Morální Reforma“. Další možnosti zneužití mohou být v podobě falšování „bankovních“ SMS, nebo prostému sociálnímu inženýrství v podobě podvrhu SMS s (například) odkazem někam na web či dotazem, která se tváří jako kdyby pocházela od někoho, koho příjemce zná. A bude mu tím pádem důvěřovat.

Problém v Apple iOS není ani tak v tom, že je možné do „Odpovědět kam“ napsat libovolný vlastní text, to je vlastnost protokolu pro zasílání SMS. A téhož lze dosáhnout s použitím aplikaci pro mobilní telefony i řady SMS bran či programů na posílání SMS. Problém na straně iOSu je ve způsobu zobrazení došlé SMS.

Našli jste v článku chybu?