Уязвимость в iPhone позволяет подменять номер отправителя SMS

[AM_Bot 48]

Известный хакер под псевдонимом pod2g обнаружил уязвимость в операционной системе Apple iOS, которая позволяет злоумышленникам использовать произвольный номер телефона в данных отправителя SMS-сообщения, которые видит владелец смартфона.

подробнее

[Valery Ledovskoy 1082]

BagTraq по поводу этой проблемы в рассылке пишет следующее, что несколько подробнее освещает проблему:

На днях выяснилось, что iPhone начиная с первой модели слишком доверчиво относится к одному из полей заголовка SMS (User Data Header, UDH), которое отвечает за номер, используемый для ответа. Поскольку практически никто из операторов его не контролирует, оно может быть произвольно изменено отправителем. В нормальной реализации пользователь должен увидеть оба номера - и честный from, и этот reply-to, но в случае iPhone reply-to показывается в качестве номера отправителя, что дает замечательные возможности для всевозможных игр с подделкой номеров, фишинга и т.п.

Честно говоря, не знаю, насколько с этим reply-to все плохо у других производителей, но реакция Apple все равно была просто восхитительной. В ответном заявлении Apple рассказала, что очень серьезно относится к безопасности и контролирует адреса/номера при использовании iMessage вместо SMS. Ну а пользователи SMS должны смириться с описанной проблемой как с неизбежным ограничением этой устаревшей технологии и соблюдать при работе с ней особую осторожность.

Оригинал:

http://www.engadget.com/2012/08/18/apple-r...ssage-spoofing/

[OlegAndr 236]

НУ обычно подменятся наоборот, если показан номер один, а реплай-ту другой.

В почте если почта от якобы billing@ebay.com, а реплай вася@xakep.net и вася ждет письма с данными.

Если мне будет показан только мейл васи, куда собственно уйдет почта то я все и так пойму.....

ТО же и с смс.