pod2g ontdekt beveilingslek in SMS-berichten op iPhone
De hacker pod2g heeft een manier gevonden om SMS-berichten uit naam van een ander te versturen. De hack lijkt alleen te werken op iPhones. Apple raadt gebruikers aan iMessage te gebruiken in plaats van SMS tot het probleem is opgelost.
pod2g schrijft op zijn blog dat de hack mogelijk wordt gemaakt door de manier waarop iOS met SMS-berichten omgaat. SMS-berichten bieden de mogelijkheid extra informatie te mee te sturen in de 'User Data Header'-sectie van de specificaties van het bericht. Hier kan onder andere een 'reply to'-adres worden opgegeven. Dit adres wordt in iOS als afzender vertoond.
Geen controle op 'reply to'-adres
De hacker stelt dat de meeste mobiele telecomaanbieders de informatie in de specificaties van een SMS-bericht niet controleert, waardoor het mogelijk is hier naar wens informatie in te vullen. Kwaadwillenden kunnen hierdoor het telefoonnummer van een ander opgeven als 'reply to'-adres, waarna dit telefoonnummer als afzender op de iPhone wordt vertoond.
pod2g roept Apple op het probleem aan te pakken voor iOS 6 wordt gelanceerd. De bug zou niet alleen in iOS 5.1.1 aanwezig zijn, maar ook in de beta's van iOS 6. Apple raadt gebruikers in een reactie aan Engadget aan iMessage te gebruiken in plaats van SMS-berichten tot het probleem is opgelost. Apple stelt dat iMessage de addressen wel worden gecontroleerd en dat de dienst hierdoor veiliger is dan SMS.