Jailbreak hacker en beveiligingsonderzoeker pod2g vandaag onthulde een nieuw ontdekt beveiligingsprobleem in alle versies van iOS waarmee kwaadwillenden sms-berichten konden vervalsen, waardoor een ontvanger dacht dat een bericht van een vertrouwde afzender kwam, terwijl het in feite van de kwaadwillende partij kwam.
Het probleem houdt verband met de verwerking door iOS van User Data Header (UDH) -informatie, een optioneel gedeelte van een tekstlading waarmee gebruikers bepaalde informatie kunnen specificeren, zoals het wijzigen van het antwoordnummer op een bericht in iets anders dan het verzendnummer. De manier waarop de iPhone met deze optionele informatie omgaat, kan ontvangers blootstellen aan gerichte sms-spoofing-aanvallen.
In de tekstlading is een sectie met de naam UDH (User Data Header) optioneel, maar definieert veel geavanceerde functies waarmee niet alle mobiele telefoons compatibel zijn. Een van deze opties stelt de gebruiker in staat om het antwoordadres van de tekst te wijzigen. Als de bestemmingsmobiel ermee compatibel is, en als de ontvanger de tekst probeert te beantwoorden, reageert hij niet op het originele nummer, maar op het opgegeven nummer.
hoe iphone 11 in dfu-modus te zettenDe meeste vervoerders controleren dit deel van het bericht niet, wat betekent dat men in deze sectie kan schrijven wat hij wil: een speciaal nummer zoals 911, of het nummer van iemand anders.
Bij een goede implementatie van deze functie zou de ontvanger het originele telefoonnummer en het antwoordnummer zien. Als je op de iPhone het bericht ziet, lijkt het afkomstig te zijn van het antwoordnummer en verlies je de oorsprong.
pod2g belicht verschillende manieren waarop kwaadwillende partijen kunnen profiteren van deze fout, waaronder pogingen tot phishing om gebruikers te linken naar sites die persoonlijke informatie verzamelen of spoofing van berichten met als doel vals bewijs te creƫren of het vertrouwen van een ontvanger te winnen om verdere snode acties mogelijk te maken.
In veel gevallen zou de kwaadwillende de naam en het nummer van een vertrouwd contact van de ontvanger moeten weten om hun inspanningen effectief te laten zijn, maar het phishing-voorbeeld laat zien hoe kwaadwillenden brede netten kunnen uitwerpen in de hoop gebruikers te strikken door zich voor te doen als een gewone bank of andere instelling. Maar aangezien het probleem ertoe leidde dat ontvangers het antwoordadres te zien kregen, kon een aanval worden ontdekt of verijdeld door simpelweg op het bericht te antwoorden, omdat het retourbericht naar de bekende contactpersoon zou gaan in plaats van naar de kwaadwillende.
Populaire Berichten