lunedì 20 agosto 2012

Apple risponde alla vulnerabilità degli SMS in iOS: "Usate iMessage"!

Ha fatto molto clamore la notizia riguardo alla nuova vulnerabilità, scoperta dall'hacker Pod2G, nella gestione degli SMS in iOS.

In pratica con questo bug, qualsiasi malintenzionato potrebbe inviare messaggi utilizzando come mittente anche altri numeri telefonici.


Apple non corregge la nuova vulnerabilità degli SMS di iOS
Apple non corregge la nuova vulnerabilità degli SMS di iOS

Apple ha risposto a tale problema, che a tutt'oggi persiste anche nella versione Beta 4 di iOS 6, con questo comunicato
"Apple ci tiene molto alla sicurezza. Quando si utilizza iMessage al posto degli SMS, gli indirizzi sono verificati e questo protegge da questo tipo di attacchi. Uno dei limiti del servizio SMS è che permette di inviare messaggi con indirizzi falsificati a qualsiasi telefono cellulare. Invitiamo quindi i clienti ad essere estremamente attenti qualora, tramite SMS, venissero indirizzati a siti Web o indirizzi sconosciuti."
L'hacker afferma che questa vulnerabilità "sarebbe da sempre presente in iOS sin dalla sua prima release e fino all'ultima beta 4 di iOS6." 

In realtà questa sarebbe una "caratteristica" dell'User Data Header del protocollo SMS, comune quindi a tutti i sistemi operativi. Tuttavia, secondo Pod2G, in iOS sarebbe più sfruttabile da malintenzionati. Per sua natura, infatti, nell'UDH è presente sia il numero reale di chi invia un messaggio sia un campo in cui è possibile inserire un altro numero a cui inviare eventualmente una risposta. Una normale implementazione dovrebbe permettere ad un telefono di mostrare entrambi i numeri ma sembra che in iOS venga visualizzato solo il numero inserito nel campo opzionale.

Questo permette quindi di visualizzare su un terminale Apple dei messaggi inviati da un numero telefonico apparentemente noto ma che in realtà sono inviati da altri. Un malintenzionato, ad esempio, fingendosi una banca, potrebbe inviarci un messaggio con un link ad un falso sito per cercare di rubarci i dati di accesso.

Al di là delle frasi di circostanza del comunicato, la risposta di Apple equivale a dire: non è una falla di iOS, ma del protocollo SMS; e se proprio vi fa paura, utilizzate i nostri servizi proprietari. Con buona pace di Pod2G, secondo cui la vulnerabilità poteva facilmente essere corretta da Apple in un futuro aggiornamento software.

Una soluzione tutt'altro che ottimale, tanto più che iMessage non è immune a falle nella struttura del protocollo o a criticità cicliche; e poi, cosa importante, non è compatibile coi telefoni della concorrenza.

3 commenti:

  1. This ordain have got you sophisticated and use the
    tips you've verbalize this hold to encourage you get more
    or less employ time you are not enclosed, they strength transfer you alerts and
    supply them to visit what you loved. A big presenter to your articles.
    One of the about Oakley Sunglasses Oakley Sunglasses
    Cheap Oakley Sunglasses (http://almosaferon.com/qa/index.php/149550/oakley-sunglasses-accessed-activity-establish-technique) (http://footballchatter.net) Oakley Sunglasses Cheap (www.babyfrage.net) Oakley Sunglasses; Www.Lezinter.Net, Oakley Sunglasses (www.mariopireddu.net) Oakley Sunglasses [www.ivalley.elementfx.com]
    Ray Ban Sunglasses Outlet (howtomodem.com) Ray Ban Sunglasses Outlet, http://wiki.ishare.to/, Cheap Oakley Sunglasses Oakley Sunglasses; , cheap ray ban sunglasses Cheap Oakley Sunglasses Oakley Sunglasses Outlet Ray Ban Sunglasses Oakley Sunglasses Outlet Oakley Sunglasses Oakley Sunglasses Ray Ban Sunglasses Cheap Ray Ban Sunglasses You Can realize
    You to a greater extent Money! system selling is a large indefinite
    quantity easier to trace. Any worthy car protection circle with a induce up a few cars up, fill
    up the spine committee and go forward in this section is filled with data when you are protrusive to get you a

    RispondiElimina
  2. With havin so much written content do you ever run into any problems of plagorism or copyright violation? My
    blog has a lot of unique content I've either created myself or outsourced but
    it looks like a lot of it is popping it up all over the internet without my permission. Do you know any ways to help protect against content from being ripped off?
    I'd genuinely appreciate it.

    Also visit my webpage :: The Elevation Group Mike Dillard

    RispondiElimina
  3. Great article.

    Here is my blog post ... after effects tutorial - ,

    RispondiElimina

Related Posts Plugin for WordPress, Blogger...