חוקר אבטחה: משתמשי iOS חשופים למתקפות פישינג באמצעות SMS
על פי החוקר, שמזדהה בכינוי pod2g, הוא איתר באג שמאפשר להאקרים להסוות את מספר הטלפון ממנו נשלחות הודעות למכשירי iPhone ● "המשמעות היא שכל אדם יכול לשלוח כל הודעה תוך התחזות לכל מספר", כתב בבלוג שלו ● כך, למשל, יכולים עבריינים לשלוח הודעות SMS תוך שהם מתחזים לבנקים, חברות סלולר או אפילו למשטרה, ולדלות מבעל הטלפון מידע יקר ערך ● אפל: "השתמשו ב-iMessage, לא ב-SMS"
חוקר אבטחת מידע המתמחה במערכת ההפעלה של אפל (Apple) למכשירים ניידים, iOS, חשף בסוף השבוע באג קריטי באופן שבו מטפלת מערכת ההפעלה בהודעות טקסט (SMS). הבאג, על פי החוקר, קיים בכל הגרסאות של iOS, לרבות גרסת הבטה הרביעית של iOS 6, ומאפשר להאקרים להסוות את מספר הטלפון ממנו נשלחות הודעות. כך, למשל, יכולים עבריינים לשלוח הודעות SMS תוך שהם מתחזים לבנקים, חברות סלולר או אפילו למשטרה, ולדלות מבעל הטלפון מידע יקר ערך.
על פי החוקר, שמזדהה בכינוי pod2g, הודעות SMS ממירות את תווי הטקסט ליחידות בשם PDU (ר"ת Protocol Description Units), המועברות על גבי הרשת הסלולרית. במהלך העברת הנתונים הזו, מסביר pod2g, ישנו שדה בשם UDH (ר"ת User Data Header), שמזהה את השולח. המדובר בשדה אופציונאלי, המציע אפשרויות רבות שלא בהכרח נתמכות על ידי כל המכשירים ברשת. אחת מאותן אפשרויות מציעות למשתמש לשנות את מספר הטלפון שמוגדר למענה להודעה שנשלחה. כך, במידה ומכשיר הטלפון של הנמען תומך באפשרות הזו, יוכל השולח לשגר אליו הודעה תוך התחזות לכל מספר טלפון. כשיבקש הנמען להשיב להודעה, תישלח התגובה למספר הטלפון של השולח – ולא למספר שהוצג בתחילה, מבלי שהמשתמש יידע על כך.
בפוסט שפרסם בבלוג שלו, כתב pod2g, כי "רוב הספקיות לא בודקות את שדה ה-UDH, ולא מוודאות את אמיתות הפרטים שמופיעים בו. המשמעות היא שכל אדם יכול לשלוח כל הודעה תוך התחזות לכל מספר". pod2g מאמין, שהבאג שגילה יכול לשמש גורמים עבריינים לביצוע מתקפות פישינג. לדבריו, משתמשים יקבלו הודעת SMS מהבנק שלהם, שתבקש מהם לעדכן פרטי מידע באמצעות מענה להודעה או באמצעות לינק בגוף ההודעה. כך, משתמשים שיהיו תמימים מספיק בכדי לשלוח פרטים אישיים בהודעת SMS או להיכנס לכתובת אינטרנט חשודה, ייפלו בפח ויעבירו את פרטיהם האישיים למבצעי מתקפת הפישינג.
עבור חובבי סדרות משטרה ותיאוריות קונספירציה, מסביר pod2g, שעבריינים יוכלו לנצל את הבאג הזה גם כדי לשלוח הודעות בשמכם. במילים אחרות, אומר החוקר, שמי שירצה לעשות זאת, יוכל להתחזות אליכם ואפילו לשתול ראיות במכשיר ה-iPhone שלכם כדי להפליל אתכם בפשע כלשהו. עם זאת, מרגיע pod2g, שכל עוד תזכרו שחברות וגופים גדולים שולחים הודעות SMS שמספקות מידע – ולא מבקשות אותו, אין לכם סיבה לדאגה.
בתגובה לפניה מאתר Engadget, מסרה אפל, כי "החברה מתייחסת לאבטחה באופן רציני ביותר. כשמשתמשים בשירות iMessage במקום ב-SMS, עוברות הכתובות תהליך של וידוא, שמגן מפני מתקפות התחזות למיניהן. אחת המגבלות של שירות ה-SMS, היא האפשרות לשלוח הודעות תוך שימוש במספר בדוי או מסווה לכל טלפון. אנו ממליצים למשתמשים להיות זהירים במיוחד אם הם מופנים לאתר לא יודע או למספר טלפון שהם אינם מכירים".
מערכת ההפעלה iOS מותקנת בכל מכשירי ה-iPhone, מחשבי ה-iPad ונגני ה-iPod Touch של אפל. היא נחשבת לאחת ממערכות ההפעלה הנפוצות והפופולריות ביותר למכשירים ניידים. המתחרה העיקרית שלה בשוק היא מערכת ההפעלה של גוגל (Google) לטלפונים חכמים, אנדרואיד (Android).
תגובות
(0)