Vor einigen Tagen erwähnte Pod2G auf Twitter, dass es eine Schwachstelle in iOS entdeckt habe, die mit dem Nachrichtensystem (SMS/MMS) zusammenhängt, sich aber nicht zu einer Jailbreak-Lösung entwickeln lässt. Heute er führt aus Auf seinem Blog klingt die gesamte Schwachstelle und eine Zusammenfassung in etwa so: Seit iOS 1 gibt es eine Schwachstelle, die es Hackern ermöglichen würde, SMS/MMS-Nachrichten mit einem gefälschten Autor an Benutzer zu senden. Anwendungen wie z Flash-SMS nutzt diese Schwachstelle bereits aus und muss einerseits von Apple, aber auch von Mobilfunkbetreibern abgedeckt werden. Das Problem bei dieser Sicherheitslücke besteht darin, dass die Nachricht scheinbar von jemandem stammt, in Wirklichkeit aber von einer anderen Entität stammt. Wenn Sie auf diese Nachricht antworten, senden Sie die Antwort an die gefälschte Entität, deren Telefonnummer verborgen ist.
In der Textnutzlast ist ein Abschnitt namens UDH (User Data Header) optional, definiert jedoch viele erweiterte Funktionen, mit denen nicht alle Mobiltelefone kompatibel sind. Eine dieser Optionen ermöglicht es dem Benutzer, die Antwortadresse des Textes zu ändern. Wenn das Zielmobil damit kompatibel ist und der Empfänger versucht, auf die SMS zu antworten, antwortet er nicht auf die ursprüngliche Nummer, sondern auf die angegebene.Die meisten Netzbetreiber überprüfen diesen Teil der Nachricht nicht, was bedeutet, dass man in diesen Abschnitt schreiben kann, was er will: eine spezielle Nummer wie 911 oder die Nummer einer anderen Person.Bei einer guten Implementierung dieser Funktion würde der Empfänger die ursprüngliche Telefonnummer und die Nummer des Empfängers sehen. Wenn Sie auf dem iPhone die Nachricht sehen, scheint sie von der Antwortnummer zu stammen, und Sie verlieren den Überblick über den Ursprung
- Piraten könnten eine Nachricht senden, die scheinbar von der Bank des Empfängers stammt, mit der Bitte um private Informationen oder die Einladung, eine spezielle Website aufzurufen. [Phishing]
- Man könnte eine gefälschte Nachricht an Ihr Gerät senden und diese als falschen Beweis verwenden.
- Alles, was Sie sich vorstellen können, könnte dazu verwendet werden, Menschen zu manipulieren und sie dazu zu bringen, jemandem oder einer Organisation zu vertrauen, die ihnen eine SMS geschickt hat.
Pod2G sagt, dass jeder Nachrichten mit einem gefälschten Autor an Benutzer senden kann und praktisch: Sie können eine SMS erhalten, die scheinbar von der Bank stammt und nach vertraulichen Daten gefragt wird, aber die Nachricht wird von einem Hacker gesendet und wenn Sie antworten, Sie wird per Telefon eine Nachricht an seine Nummer senden; Jemand kann Sie austricksen, indem er Ihnen Nachrichten von nahestehenden Personen schickt, aber Ihre Antworten erreichen ihn und die Liste lässt sich fortsetzen. Pod2G rät Benutzern, den empfangenen SMS nicht zu vertrauen und im Falle wichtiger SMS keine vertraulichen Daten als Antwort auf diese Nachricht zu senden.
Diese Sicherheitslücke ist in fast jedem Mobiltelefon zu finden. Denken Sie also nicht, dass wir sie nur in iOS haben.
