Apple признала уязвимость iPhone через SMS

Компания Apple в субботу, 18 августа, распространила сообщение, согласно которому в смартфонах iPhone действительно есть уязвимость, позволяющая провести атаку, связанную с так называемым SMS-спуффингом.

Как передает CyberSecurity текст сообщения компании: "Когда пользователи используют систему iMessage вместо SMS, адреса верифицируются, что защищает их от различного рода мусорных атак. Одно из ограничений SMS заключается в том, что эта концепция допускает отправку сообщения с поддельного адреса на любой телефон, поэтому мы призываем наших пользователей быть очень осторожными, если им предлагается перейти на неизвестный им сайт в полученном SMS-сообщении".

На этой неделе хакер, известный как Pod2g и специализирующийся на джейлбреках для iOS, рассказал об обнаружении уязвимости во всех версиях прошивки для iPhone. Злоумышленники могут воспользоваться дырой, чтобы обмануть пользователей смартфонов Apple при помощи различных схем фишинга.

В нарушении безопасности виноват способ, которым в iOS реализована передача SMS-сообщений. Как обнаружил хакер, SMS-платформа операционной системы вместо того, чтобы показывать непосредственно номер, с которого было отправлено сообщение, отображает адрес, на который пользователь должен отправлять ответ.

"В данной программной среде есть отдел, называющийся UDH (перенаправитель пользовательской информации). Эта система необязательна, но предоставляет большое количество продвинутых функций, с которыми совместимы не все мобильники. Одна из этих возможностей позволяет менять адрес ответа на свое сообщение. Таким образом, если человек попробует ответить на сообщение, то он отправит СМС не на номер, с которого получил его, а на тот, который указан как адрес ответа", - пишет Pod2g в своем блоге.

Так как iOS показывает именно адрес ответа, а не реальный номер, с которого было отправлено сообщение, мошенники могут отправлять послания, например, от имени банка.