Jailbreak hacker at security researcher pod2g ngayon nagsiwalat ng bagong natuklasang isyu sa seguridad sa lahat ng bersyon ng iOS na maaaring magpapahintulot sa mga nakakahamak na partido na manloko ng mga mensaheng SMS, na ginagawang isipin ng isang tatanggap na ang isang mensahe ay nagmula sa isang pinagkakatiwalaang nagpadala ngunit sa katunayan ay nagmula ito sa malisyosong partido.
Ang isyu ay nauugnay sa pangangasiwa ng iOS ng impormasyon ng User Data Header (UDH), isang opsyonal na seksyon ng isang text payload na nagbibigay-daan sa mga user na tukuyin ang ilang partikular na impormasyon gaya ng pagpapalit ng reply-to number sa isang mensahe sa isang bagay maliban sa pagpapadala ng numero. Ang paghawak ng iPhone sa opsyonal na impormasyong ito ay maaaring mag-iwan sa mga tatanggap na bukas sa mga naka-target na pag-atake ng panggagaya ng SMS.
Sa text payload, isang seksyon na tinatawag na UDH (User Data Header) ay opsyonal ngunit tumutukoy sa maraming advanced na feature na hindi lahat ng mobile ay compatible. Ang isa sa mga opsyong ito ay nagbibigay-daan sa user na baguhin ang address ng tugon ng text. Kung ang patutunguhang mobile ay tugma dito, at kung sinubukan ng receiver na sagutin ang text, hindi siya tutugon sa orihinal na numero, ngunit sa tinukoy na numero.
magkano ang iphone 6 na may upgradeKaramihan sa mga carrier ay hindi nagsusuri sa bahaging ito ng mensahe, na nangangahulugang maaaring isulat ng isa ang anumang gusto niya sa seksyong ito : isang espesyal na numero tulad ng 911, o ang numero ng ibang tao.
Sa magandang pagpapatupad ng feature na ito, makikita ng receiver ang orihinal na numero ng telepono at ang reply-to. Sa iPhone, kapag nakita mo ang mensahe, tila nanggaling ito sa numerong tumugon, at [nawawala] mo ang pinanggalingan.
Ang pod2g ay nagha-highlight ng ilang paraan kung saan maaaring samantalahin ng mga malisyosong partido ang kapintasan na ito, kabilang ang mga pagtatangka sa phishing na i-link ang mga user sa mga site na nangongolekta ng personal na impormasyon o panggagaya ng mga mensahe para sa mga layunin ng paglikha ng maling ebidensya o pagkuha ng tiwala ng isang tatanggap upang paganahin ang higit pang masamang aksyon.
Sa maraming kaso, kailangang malaman ng malisyosong partido ang pangalan at numero ng isang pinagkakatiwalaang contact ng tatanggap upang maging epektibo ang kanilang mga pagsisikap, ngunit ipinapakita ng halimbawa ng phishing kung paano maaaring maglabas ng malawak na lambat ang mga malisyosong partido na umaasang mahuli ang mga user sa pamamagitan ng pagpapanggap na sila ay isang karaniwang bangko o iba pang institusyon. Ngunit sa isyu na nagreresulta sa mga tatanggap na ipakita ang reply-to address, ang isang pag-atake ay maaaring matuklasan o hadlangan sa pamamagitan lamang ng pagtugon sa mensahe, dahil ang ibinalik na mensahe ay mapupunta sa pamilyar na contact kaysa sa malisyosong isa.
Patok Na Mga Post