Pod2g ha scoperto un’importante falla nella sicurezza degli SMS in iOS

Nonostante i continui elogi propinati ad Apple per il livello di sicurezza raggiunto con iOS, gli hacker continuano a scoprire nuove vulnerabilità. Basta guardare all’enorme quantità di exploit utilizzati nei vari Jailbreak! Oggi, pod2g ne ha aggiunto un altro all’elenco, grazie alla scoperta di una nuova falla presente nel sistema di gestione degli SMS in iOS!

La falla ha direttamente a che fare con la modalità di gestione degli SMS da parte degli iPhone, potrebbe quindi aprire le porte allo spoofing dei messaggi di testo!

Nel suo blog, pod2g ha scritto:

Un messaggio di testo (SMS), è fondamentalmente una piccola quantità di byte scambiata tra due telefoni cellulari, con l’operatore mobile che funge da trasportatore di queste informazioni. Quanto un utente scrive un messaggio, esso viene convertito in PDU (Protocol Description Unit) dal dispositivo e quindi trasmesso alla baseband che provvede alla consegna…

…nel payload del testo, una sezione denominata UDH (User Data Header) è facoltativa, ma definisce una serie di funzionalità avanzate, non compatibili con tutti i modelli di cellulari. Una di queste opzioni consente all’utente di cambiare l’indirizzo di risposta del testo. Se il telefono di destinazione è compatibile con questa funzione e se il ricevente tenta di rispondere al testo, egli non risponderà al numero del mittente, ma a quello diversamente specificato.

La maggior parte degli operatori mobili non monitora questa porzione di messaggio, il che significa che chiunque può scrivere quello che vuole in questa sezione. Ad esempio il numero di qualcun altro, oppure un numero d’emergenza.

L’hacker Francese prosegue dicendo che, tramite un’implementazione sicura di questa funzione, il destinatario di un SMS dovrebbe poter visualizzare il numero telefonico d’origine del messaggio e l’eventuale numero di risposta. Attualmente, sull’iPhone, compare solo il numero a cui andrà la risposta.

Come potete bene immaginare, questo potrebbe causare molti problemi. Ci sono molti servizi che utilizzano la messaggistica per verificare gli account e le informazioni ad essi correlate, senza tralasciare la sfera delle informazioni personali…

Pod2g ha infine aggiunto un aspetto che mi ha lasciato piuttosto sgomento: questa falla è stata scoperta la prima volta nell’iPhone originale ed esiste ancora in iOS 6 beta 4!! L’esperto in sicurezza sta supplicando Apple affinché risolva questo problema prima del rilascio del nuovo sistema operativo.

A Cupertino hanno molte buone ragioni per chiudere questa falla! Pod2g sta già lavorando su un’utility tool che consentirà di ricreare questo problema senza particolari sforzi di hacking e prevede di rilasciarla entro breve.



Fonte: iDownloadBlog


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.