Penggodam jailbreak dan penyelidik keselamatan pod2g hari ini mendedahkan isu keselamatan yang baru ditemui dalam semua versi iOS yang boleh membenarkan pihak yang berniat jahat untuk menipu mesej SMS, membuatkan penerima berfikir bahawa mesej datang daripada pengirim yang dipercayai sedangkan ia sebenarnya datang daripada pihak yang berniat jahat.
Isu ini berkaitan dengan pengendalian maklumat Pengepala Data Pengguna (UDH) iOS, bahagian pilihan muatan teks yang membolehkan pengguna menentukan maklumat tertentu seperti menukar nombor balasan pada mesej kepada sesuatu selain daripada nombor penghantaran. Pengendalian iPhone terhadap maklumat pilihan ini boleh menyebabkan penerima terbuka kepada serangan penipuan SMS yang disasarkan.
Dalam muatan teks, bahagian yang dipanggil UDH (Pengepala Data Pengguna) adalah pilihan tetapi mentakrifkan banyak ciri lanjutan yang tidak semua mudah alih serasi. Salah satu pilihan ini membolehkan pengguna menukar alamat balasan teks. Jika mudah alih destinasi serasi dengannya, dan jika penerima cuba menjawab teks, dia tidak akan membalas nombor asal, tetapi kepada nombor yang ditentukan.
bagaimana untuk menyematkan aplikasi pada iphoneKebanyakan pembawa tidak menyemak bahagian mesej ini, yang bermaksud seseorang boleh menulis apa sahaja yang dia mahu dalam bahagian ini : nombor khas seperti 911, atau nombor orang lain.
Dalam pelaksanaan yang baik bagi ciri ini, penerima akan melihat nombor telefon asal dan nombor balasan kepada. Pada iPhone, apabila anda melihat mesej itu, ia seolah-olah datang daripada nombor balasan dan anda [kehilangan] jejak asal.
pod2g menyerlahkan beberapa cara pihak yang berniat jahat boleh mengambil kesempatan daripada kelemahan ini, termasuk percubaan pancingan data yang memautkan pengguna ke tapak yang mengumpul maklumat peribadi atau memalsukan mesej untuk tujuan mencipta bukti palsu atau mendapatkan kepercayaan penerima untuk membolehkan tindakan jahat selanjutnya.
Dalam kebanyakan kes, pihak yang berniat jahat perlu mengetahui nama dan nombor kenalan yang dipercayai penerima agar usaha mereka berkesan, tetapi contoh pancingan data menunjukkan bagaimana pihak yang berniat jahat boleh membuang jaringan luas dengan harapan untuk menjerat pengguna dengan berpura-pura menjadi bank biasa atau institusi lain. Tetapi dengan isu yang menyebabkan penerima ditunjukkan alamat balasan, serangan boleh ditemui atau digagalkan hanya dengan membalas mesej itu, kerana mesej balasan akan dihantar kepada kenalan biasa dan bukannya yang berniat jahat.
Jawatan Popular