Found a heavy SMS flaw in iOS. Doesn’t involve code execution but still severe. Will write an article on my blog quick.
— pod2g (@pod2g) Agosto 14, 2012
Avevo già notato nei giorni scorsi il tweet che vedete qui sopra da parte di pod2g, famoso per la propria esperienza in campo di sicurezza iOS, jailbreak incluso. La sua nuova rivelazione in realtà va a beneficio di Apple, visto che si tratta di un bug collegato agli SMS presente anche nella beta 4 di iOS 6.
Senza addentrarci troppo nelle spiegazioni tecniche disponibili sul blog di pod2g, il problema risiederebbe nella gestione da parte di iOS della parte di dati contenuta all’interno del payload di ogni SMS, nel dettaglio all’interno della sezione UDH (User Data Header) legata al mittente. In tale sezione, è contenuto il numero reale di chi invia il messaggio, con la possibilità anche di specificare un ulteriore numero come fosse una sorta di rispondi a simile a quello contenuto negli header dei messaggi email.
Una gestione ottimale di tutto ciò permetterebbe al software di sistema del telefono di visualizzare entrambi i numeri, ma a quanto pare in iOS così non è: si visualizzerebbe anzi solo il dato presente nel campo rispondi a, ignorando quindi l’origine reale dell’SMS. Una falla che apre naturalmente la porta a eventuali malintenzionati, che potrebbero usarla per tentativi di phishing fingendo d’inviare i messaggi da numeri appartenenti ad autorità o per esempio banche, allo scopo di ottenere naturalmente dati personali.
La morale di tutto ciò è naturalmente quella di non fidarvi mai realmente dei messaggi che dovessero chiedervi dati sensibili, considerando soprattutto che non è comunque pratica né di banche né di altri fare di norma cose del genere, men che meno attraverso un canale come quello degli SMS su telefonino. Speriamo comunque che preso atto della cosa, Apple sistemi questo bug al più presto.
14 COMMENTIAGGIUNGI IL TUO
armin
<a href='http://www.melablog.it/post/28507/la-crittografia-dei-dispositivi-ios-e-inviolabile' rel='nofollow'>http://www.melablog.it/post/28507/la-crittografia-dei-dispositivi-ios-e-inviolabile</a> a cosa serve integrare algoritmi di crittografia aes a 19trilioni di bit quando ci si perde in simili stupidate??
#1 - Scritto il
armin
<a href='http://www.melablog.it/post/28507/la-crittografia-dei-dispositivi-ios-e-inviolabile' rel='nofollow'>http://www.melablog.it/post/28507/la-crittografia-dei-dispositivi-ios-e-inviolabile</a> a cosa serve integrare algoritmi di crittografia aes a 19trilioni di bit quando ci si perde in simili stupidate??
#2 - Scritto il
Xboxaro
1) non è una vulnerabilità di ios visto che si tratta solo di una cosa per "mantenere l'anonimato" (in pratica non è che ti blocca gli sms di phishing, e i boccaloni non diventano più intelligenti) 2) credo che apple stessa e i vari operatori abbiano qualche metodo per rintracciare la "fonte", non necessariamente se una cosa non si vede allora non esiste. 3) ricevo ogni giorno qualche decina di email (ho 3 caselle, 2 di hotmail e una di gmail), tralasciando che in quella di gmail trovo molta più schifezza devo dire che metà delle mail sono spam e tentativi di phishing. Difficilmente di sente di phishing tramite sms e anche se fosse bisogna essere proprio stupidi per cascarci.
#3 - Scritto il
duroedura
È una cosa gravissima, che ovviamente con android non può succedere.
#4 - Scritto il
sainz
#4 vai dal medico ma da uno bravo!! Android è un colabrodo!!!
#5 - Scritto il
duroedura
Android è esente da bug, essendo un open surce è infinitamente più ottimizzato di iOS , sei proprio un'igniorante. Informati prima di dire stupidaggini di cui ti dovresti solo vergogniare.
#6 - Scritto il
sainz
Ma stai zitto! Ma sei tu a fare ridere
#7 - Scritto il
sainz
Te ne metto solo uno la lista è lunga!! http://android.hdblog.it/2012/02/25/di-nuovo-a-rischio-la-sicurezza-di-android-a-causa-di-un-bug-in-webkit
#8 - Scritto il
duroedura
Ne metti solo uno ( già risolto da tempo) perché è l'unico! buffone!
#9 - Scritto il
sainz
Buffone sarai te e tra le altre cose lo stai piu che dimostrando!!! Solo 1!!! Ma fai una piccola ricerca su google e dopo ne riparliamo!!!!
#10 - Scritto il
duroedura
Vai ha giocare con l'Iphone e lascia i grandi discutere di cose serie. Sei proprio un bimbominkia, android è 10 anni avanti a iOS in più è un sofware open, da una parte ci sono coloro che credono nella libertà ( google) e dall'altra gli schiavisti di Apple. In cina visto che gli operai che costruivano gli iPhone ( è roba cinese da pochi dollari) si suicidavano per le condizioni inumane di lavoro, hanno Messo reti anti suicidio e aumentato le ore di lavoro. Secondo varie associazioni per i diritti umani Le condizioni di lavoro che Apple impone sono peggiori di quelle dei lager nazisti.
#11 - Scritto il
sainz
Ma di cosa parli?!! Ma sei propio fuori di testa?!!! In cina vengono ASSEMBLATI!!!!!! COGLIONE!! E con questo é l'ultimo post che ti rispondo dato che sei un povero troll da due soldi e con la gente come te non vale la pena neanche confrontarsi! Ciao buone ferie.......
#12 - Scritto il
duroedura
Coglione sarai tu! La storia dei suicidi di massa nella fabbrica degli iPhone è passata persino su questo blog, è di dominio pubblico!
#13 - Scritto il
duroedura
È difficile controbattere quando non si hanno argomenti.
#14 - Scritto il