iOS хакер, известный под именем Pod2g, обнаружил брешь в системе безопасности отправки SMS c iPhone, которая может привести к подмене текстового сообщения и использоваться для подмены номера отправителя (SMS-спуфинга). Проблема кроется в технологии обработки сообщений на iOS.
По утверждению изъян был обнаружен еще в первой iOS для iPhone, но остался без должного внимания со стороны Apple, его присутствие подтверждено и в последней версии — iOS 6 beta 4.
В своем блоге хакер изложил суть проблемы:
« …. В системе есть раздел, под названием UDH (заголовок пользовательских данных), который носит обязательный характер, но определяет множество продвинутых функций, которые поддерживаются не всеми моделями мобильных устройств. Одна из опций дает возможность пользователю изменить адрес отправителя сообщения. Если устройство с этим адресом поддерживает такую функцию, и когда получатель сообщения ответит на SMS, то это сообщение поступит на не только правильный номер, но и на «подставной»…..».
Проблема, связана и с тем, что большинство мобильных операторов не проверяет эту часть сообщения. Pod2g также привел пару примеров, как этим могут воспользоваться злоумышленники – пользователь iPhone может получить SMS якобы из банка с запросом персональных данных, а ответ получит злоумышленник.
Неясно, насколько это легко для хакеров перехватить сообщение, но Pod2g считает, что это «серьезный» недостаток безопасности, который обязательно должен быть устранен.