Người dùng iPhone thế hệ đầu cho tới iPhone 4S có thể nhận được tin nhắn từ kẻ lừa đảo giả mạo là bạn bè trong danh sách liên lạc.
Một người chuyên nghiên cứu bảo mật iOS, đồng thời là hacker chuyên bẻ khóa iPhone có nickname pod2g đã phát hiện một lỗ hổng bảo mật khiến iPhone có thể bị tấn công bởi tin nhắn giả mạo.
Bài viết trên blog của pod2g cho biết, lỗ hổng này xuất hiện trên iPhone từ khi thiết bị này mới ra mắt vào năm 2007 và hiện nay vẫn tồn tại trên iOS phiên bản mới nhất là iOS 6 beta 4. Theo pod2g, “lỗ hổng không liên quan tới mã thực thi nhưng vẫn rất nghiêm trọng”.
Cụ thể, lỗ hổng cho phép người dùng ác ý gửi tin nhắn văn bản giả mạo, khiến người nhận nghĩ rằng tin nhắn đó được gửi đi bởi một người thân thiết trong danh bạ điện thoại.
pod2g giải thích như sau: thông thường, một tin nhắn SMS được tạo thành từ các byte dữ liệu trao đổi giữa hai thiêt bị. Tin nhắn SMS được chuyển đổi thành một định dạng có tên Protocol Description Unit – PDU, nhằm phân tích những thông tin cần thiết để một tin nhắn SMS được gửi tới đích. Trong đó, User Data Header (UDH) là thành phần cho phép người dùng thay đổi “địa chỉ phản hồi của tin nhắn” .
Trên iPhone, khi người gửi đã thay đổi “địa chỉ phản hồi của tin nhắn”, người nhận không thể xem được số điện thoại gốc trong tin nhắn SMS, vì thế không thể phát hiện tin nhắn đó có xuất phát từ người gửi giả mạo hay không. Ngoài iPhone, lỗ hổng này có thể xuất hiện trên nhiều dòng smartphone khác có cùng quy trình xử lý SMS giống iPhone.
Về những hậu quả mà lỗ hổng này gây ra, pod2g đã đưa ra một vài ví dụ:
Kẻ xấu có thể gửi tin nhắn giả mạo là thông báo từ ngân hàng, yêu cầu người nhận gửi thông tin bí mật của họ, hoặc trực tiếp lừa họ truy cập một trang web gây hại.
Kẻ xấu có thể giả danh ai đó, gửi tin nhắn cho chủ nhân điện thoại để tạo chứng cứ giả.
pod2g kêu gọi Apple khắc phục lỗ hổng này trước khi phát hành phiên bản cuối cùng của iOS 6.
Trước các thông tin trên, Apple nói rằng đó chính là lý do họ sử dụng iMessage để ngăn chặn các vụ tấn công giả mạo tin nhắn SMS: “Apple rất coi trọng vấn đề bảo mật. Khi sử dụng iMessage thay vì SMS, các địa chỉ sẽ được xác minh để chống lại các loại tấn công giả mạo này. Một trong những hạn chế của SMS là nó cho phép tin nhắn được gửi đi với địa chỉ giả mạo tới bất kỳ điện thoại nào, vì thế chúng tôi kêu gọi khách hàng hãy cực kỳ cẩn thận nếu họ được dẫn tới một website hoặc một địa chỉ lạ qua SMS”.
Theo ICTnews/IbTimes, Arstechnica