iOS-hacker ontdekt sms-beveiligingslek in iOS
De befaamde jailbreaker @pod2g heeft een groot beveiligingslek in de sms-applicatie van de iPhone ontdekt. Bij het versturen van sms-berichten naar een iPhone is het mogelijk om een ander telefoonnummer bij de verzender te tonen. Pod2g legt in een uitgebreide blogposting uit waar het probleem zit. Het beveiligingslek maakt het eenvoudig om phishing-berichten te versturen, waarbij het lijkt alsof het bericht van je bank afkomstig is. Volgens pod2g is de kans groot dat beveiligingsexperts al op de hoogte zijn van het probleem. Wellicht geldt dat ook voor kwaadwillenden.
Bij een verzonden sms-bericht wordt vaak een ‘User Data Header’ meegestuurd, die niet door iedere mobiele telefoon wordt ondersteund. Hierin zit belangrijke informatie over het bericht. Binnen deze data blijkt het mogelijk om het telefoonnummer waarop je reageert te wijzigen. Telecomproviders zouden zelden naar deze informatie kijken, waardoor je erin kunt zetten wat je wilt. Bij smartphones die deze functie goed ondersteunen zie je het reply to-adres los van het nummer van de verzender. De iPhone toont alleen waar je een bericht naar terugstuurt. Hierdoor lijkt het alsof een sms-bericht afkomstig is van het nummer dat staat ingevuld.
Volgens pod2g kan het mankement naast phishing voor meer vormen van misbruik zorgen. Iemand zou zich lange tijd als een bedrijf voor kunnen doen. Of iemand zou een sms-bericht op je iPhone kunnen zetten, terwijl het eigenlijk niet afkomstig is van die persoon.
Het probleem zou al hebben gespeeld sinds de eerste versies van iOS en zou nog steeds bestaan in de laatste bèta van iOS 6. Pod2g roept Apple daarom op om de kwestie in een update op te lossen. Apple zou het probleem deze herfst in iOS 6 kunnen fixen, maar de kans bestaat ook dat Apple de kwestie zodanig serieus neemt dat tussentijds nog iOS 5.1.2 wordt uitgebracht.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 15 reacties