Несмотря на то, что многие хвалят Apple за прогрессивные методы шифрования, используемые в iOS, а также за заботу о безопасности персональных данных, хакеры продолжают находить в мобильной системе уязвимости (джейлбрейк iOS, например, выходит регулярно) - очередную лазейку для злоумышленников обнаружил хакер pod2g, хорошо известный джейлбрейк-сообществу. На этот раз его находка никак не относится к джейлбрейку системы и связана с SMS-сообщениями.
Как стало известно из недавнего поста хакера, в iPhone существует уязвимость, которая позволяет злоумышленникам осуществлять подмену (спуфинг) телефонного номера во входящем текстовом сообщении - таким образом, например, хакер может отправлять вам SMS "от имени" вашего банка с просьбой указать какую-либо персональную информацию, при этом ваше ответное сообщение будет отправлено не на номер банка, отображающийся у вас в телефоне, а на номер злоумышленника.
Дело в том, что каждое SMS, отправляемое с телефона, содержит в том числе и заголовок пользовательских данных (UDH), в который помещается различная сервисная информация, используемая для реализации различных продвинутых функций - одна из таких функций позволяет отправителю изменять телефон, на который приходит ответ.
Однако iPhone данную функцию не поддерживает и при смене номера отправителя указывает именно изменённый номер, а не тот, с которого на самом деле отправлена SMS. Именно таким образом можно осуществлять подмену номера, вводя в заблуждение получателя такого сообщения и выведывая у него персональную информацию.
Неизвестно, насколько легко хакеры смогут "перехватывать" SMS и заменять в них номера отправления, однако сам pod2g обещает выпустить утилиту для этого дела, если Apple не исправит данную уязвимость в ближайшее время - по словам хакера, она существует с самого первого iPhone и до сих пор не исправлена в iOS 6b4.