iPhone: SMS comprometidos por fallo de seguridad

Pod2g, uno de los responsable de conseguir vulnerabilidades en los terminales de Apple para lograr el Jailbreak, revela que un fallo de seguridad que podría comprometer los SMS y, al parecer, está presente desde la primera generación hasta la versión más reciente del iPhone. Según comenta, el problema está en la forma en que la plataforma de mensajería interpreta los datos y la información transmitida, lo que podría ser utilizado por hackers mal intencionados para distorsionar la información o falsificarla.



La plataforma de mensajería en Apple reconoce la transmisión de estos datos a través de un campo único, esto permite que pueda ser modificado porque cuando se envía un SMS, por ejemplo, no muestra el remitente sino una dirección de respuesta (que podría ser modificada). El problema está en que si un hacker puede acceder (no se especifica cómo) podría modificar la dirección de respuesta y timar haciéndose pasar por alguien más, incluso por bancos o empresas a las que estemos afiliados mediante nuestro numero telefónico.

Cuando un usuario escribe un mensaje este se convierte en PDU (Protocol Description Unit), tras pasar ese protocolo y al empujar el texto hay una sección llamada UDH (User Data Header) que es opcional pero define un montón de características avanzadas que no todos los móviles son compatibles pero permite al usuario cambiar la dirección de respuesta del texto. Si el móvil que lo recibe es compatible verá el cambio en la dirección de respuesta y no al remitente real [número real o servidor].

Obviamente para esto es necesario contar con herramientas adecuadas que sólohackers se molestarían en conseguir ahora mismo, no es algo imposible. Pod2g comenta que ya notificó a Apple para que solventase el fallo. Lo curioso de esto es que no es nuevo, de hecho, asegura que al igual que él muchos otros también tiene conocimiento de esto.

El ejemplo más practico sería el de suplantar la identidad de bancos, pero ya quedaría a imaginación de la persona que tengan la intención de estafar. Hasta la fecha no hemos visto noticias que se relacionen con este método, pero no está de más mostrarse alerta ante cualquier tipo de mensaje poco común.

Foto: Keso

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.