5 ноября 2012

Опасная ошибка в Iphone: SMS могут быть присланы не тем, кто указан в заголовке

Советы

Из-за ошибки в программной начинке iPhone пользователи не могут быть уверены, что телефон отправителя в полученных SMS является истинным.

Согласно данным исследователя, обнаружившего ошибку, пользователи iPhone должны предельно внимательно относиться к SMS из банков, страховых компаний и так далее. Это связано с тем, что злоумышленник может прислать текстовое сообщение, подделав поле «Отправитель» и представившись банком, а в текст SMS включить ссылку на фишинг-сайт, где жертве предложат ввести важную личную информацию. Пользователь при этом будет считать, что сайт аффилирован с банком, ведь ссылка пришла из него!

Недооценивать эту угрозу особенно опасно теперь, когда все больше банков выпускают мобильные приложения и используют SMS для связи с клиентами.

Теперь техническое объяснение: ошибка в iPhone проистекает из того, как Apple iOS (операционная система iPhone) обрабатывает часть SMS-сообщения под названием UDH (User Data Header, заголовок с пользовательскими данными). В UDH содержится немало данных, и одна из частей позволяет указать номер телефона, с которого якобы пришло данное SMS.

Исследователь под псевдонимом Pod2g, обнаруживший ошибку, написал в блоге сообщение, объяснив, что большинство операторов не проверяют UDH в SMS, поэтому отправитель волен написать там что угодно. Обычный телефон не позволяет манипулировать этой частью SMS, но специальные приложения для компьютеров решают данную проблему. Аналитик считает, что решением проблемы станет лучшая обработка UDH операторами.