Um investigador que se dedica a descobrir bugs e falhas de segurança no iOS veio a público alertar de uma falha que tornas o iOS da Apple susceptível a SMS's fraudulentos.
O que se passa é que, tal como é possível enviar-se um email dizendo que este teve origem num qualquer endereço de email que vos apeteça inventar (sim, podem enviar emails em nome de "obama@whitehouse.gov - só que a maioria dos serviços de email já usa sistemas de verificação para eliminar todos os emails cujo endereço não "bata certo" com o servidor de origem), também nos SMS é possível especificar-se qual o nome e número de retorno para que as respostas à mensagem serão enviadas. É precisamente por isso que certamente receberão SMS que mostram um nome em vez de um número, mesmo não constando dos vossos contactos.
Isto não é, por si, uma falha... já que é efectivamente parte das funcionalidades do sistema. O que falha é que no iOS não há possibilidade de ser ver o número "verdadeiro" que originou o SMS - ou seja, em caso do envio de um SMS fradulento, fazendo-se passar pelo vosso banco, não há qualquer forma de o diferenciar de uma mensagem verdadeira; e não sendo possível ver para que número é que estamos efectivamente a responder.
É semelhante ao que critiquei quando o Gmail começou a apresentar um cartão à Google+ dos contactos que nos enviam email, mas escondia o endereço de email (coisa que felizmente já parece ter sido corrigida). No iOS, será questão de fazer-se algo equivalente... mostrar o nome do remetente do SMS, mas dar igualmente possibilidade de ver o verdeiro número de origem da mensagem.
Subscrever:
Enviar feedback (Atom)
"O que falha é que no iOS não há possibilidade de ser ver o número "verdadeiro" que originou o SMS"
ResponderEliminarE nos outros smartphones, Android ou outro, é possível ? Conhecendo o número "verdadeiro" evita-se o spoofing ?
É que lendo o post original do pod2g e derivados fiquei com a impressão que o problema é mais geral, abrangendo todos os smartphones compatíveis, E, pior, que o spoofing é já frequentemente usado através de ferramentas disponíveis na internet que permitem "tweakar UDH headers".
http://exameinformatica.sapo.pt/noticias/software/2012/08/17/hacker-diz-haver-falha-grave-nas-sms-do-iphone
ResponderEliminar