今日の脱獄ハッカーとセキュリティ研究者pod2g 新たに発見されたセキュリティ問題を明らかに iOSのすべてのバージョンで、悪意のある当事者がSMSメッセージをスプーフィングする可能性があり、受信者は、メッセージが実際には悪意のある当事者からのものであるのに、信頼できる送信者からのものであると思わせます。
この問題は、iOSのユーザーデータヘッダー(UDH)情報の処理に関連しています。これは、メッセージの返信番号を送信番号以外に変更するなど、ユーザーが特定の情報を指定できるようにするテキストペイロードのオプションセクションです。 iPhoneがこのオプション情報を処理すると、受信者は標的型SMSスプーフィング攻撃にさらされる可能性があります。
テキストペイロードでは、UDH(ユーザーデータヘッダー)と呼ばれるセクションはオプションですが、すべてのモバイルが互換性があるわけではない多くの高度な機能を定義します。これらのオプションの1つを使用すると、ユーザーはテキストの返信アドレスを変更できます。宛先の携帯電話がそれと互換性があり、受信者がテキストに応答しようとすると、元の番号ではなく、指定された番号に応答します。
アップルウォッチシリーズsevs 6ほとんどの通信事業者はメッセージのこの部分をチェックしません。つまり、このセクションには、911などの特別な番号や他の人の番号など、好きなように書くことができます。
この機能の適切な実装では、受信者は元の電話番号と返信先の電話番号を確認できます。 iPhoneでは、メッセージを見ると、返信先の番号から来ているように見え、発信元を追跡できません。
pod2gは、悪意のある当事者がこの欠陥を利用する可能性のあるいくつかの方法を強調しています。これには、ユーザーを個人情報を収集するサイトにリンクするフィッシングの試みや、虚偽の証拠を作成したり、受信者の信頼を得てさらに悪質なアクションを可能にする目的でメッセージをスプーフィングしたりする試みが含まれます。
多くの場合、悪意のある当事者は、その取り組みを効果的に行うために、受信者の信頼できる連絡先の名前と番号を知る必要がありますが、フィッシングの例は、悪意のある当事者が、普通銀行または他の機関。ただし、受信者に返信先アドレスが表示されるという問題があるため、メッセージに返信するだけで攻撃が発見または阻止される可能性があります。これは、返信メッセージが悪意のある連絡先ではなく、使い慣れた連絡先に送信されるためです。
人気の投稿