חוקר אבטחת מידע המתמחה במערכת ההפעלה של אפל למכשירים ניידים, iOS, חשף באג קריטי באופן שבו מטפלת מערכת ההפעלה בהודעות SMS. על פי. . .
על פי החוקר, שמעדיף לשמור על אלמוניותו ומזדהה בכינוי pod2g, הודעות SMS ממירות את תווי הטקסט ליחידות בשם PDU (ר"ת Protocol Description Units) המועברות על גבי הרשת הסלולרית. במהלך העברת הנתונים הזו, ישנו שדה בשם UDH (ר"ת User Data Header) שמזהה את השולח. המדובר בשדה אופציונאלי, המציע אפשרויות רבות שלא בהכרח נתמכות על ידי כל המכשירים ברשת. אחת מאותן אפשרויות מציעות למשתמש לשנות את מספר הטלפון שמוגדר למענה להודעה שנשלחה.
כך, במידה ומכשיר הטלפון של הנמען תומך באפשרות הזו, יוכל השולח לשגר אליו הודעה תוך התחזות לכל מספר טלפון. כשיבקש הנמען להשיב להודעה, תישלח התגובה למספר הטלפון של השולח - ולא למספר שהוצג בתחילה, מבלי שהמשתמש יידע על כך.
בפוסט שפרסם בבלוג שלו, כתב pod2g, כי "רוב הספקיות לא בודקות את שדה ה-UDH, ולא מוודאות את אמיתות הפרטים שמופיעים בו. המשמעות היא שכל אדם יכול לשלוח כל הודעה תוך התחזות לכל מספר". pod2g מאמין שהבאג שגילה יכול לשמש גורמים עבריינים לביצוע מתקפות פישינג. לדבריו, משתמשים יקבלו הודעת SMS מהבנק שלהם, שתבקש מהם לעדכן פרטי מידע באמצעות מענה להודעה או באמצעות לינק בגוף ההודעה. כך, משתמשים שיהיו תמימים מספיק בכדי לשלוח פרטים אישיים בהודעת SMS או להיכנס לכתובת אינטרנט חשודה, ייפלו בפח ויעבירו את פרטיהם האישיים למבצעי מתקפת הפישינג.
יתרה מכך, לדבריו, עבריינים יוכלו לנצל את הבאג הזה גם כדי לשלוח הודעות בשמכם. במילים אחרות, מי שירצה לעשות זאת, יוכל להתחזות אליכם ואפילו לשתול ראיות במכשיר ה-iPhone שלכם כדי להפליל אתכם בפשע כלשהו.
בחלק גדול מהחברות בהם ביצענו סקר סיכונים ביקשו מאיתנו דרגי הנהלה בכירים לסייע בידם בהגדרת מדיניות והנחיות אבטחת מידע ברורים באשר לסמארטפון, אשר הפך לכלי עבודה בולט בקרב שכבות הארגון השונות. זאת, מתוך חששם כי אובדן מכשיר כזה או שימוש בו לשליחת מידע עסקי רגיש בצורה לא מסווגת עלולים לגרום נזק לארגונם.
לידיעה המלאה- כאן
