Jailbreak hacker dan peneliti keamanan pod2g hari ini mengungkapkan masalah keamanan yang baru ditemukan di semua versi iOS yang memungkinkan pihak jahat memalsukan pesan SMS, membuat penerima berpikir bahwa pesan berasal dari pengirim tepercaya padahal sebenarnya berasal dari pihak jahat.
Masalah ini terkait dengan penanganan informasi Header Data Pengguna (UDH) iOS, bagian opsional dari muatan teks yang memungkinkan pengguna untuk menentukan informasi tertentu seperti mengubah nomor balasan pada pesan menjadi sesuatu selain nomor pengiriman. Penanganan iPhone atas informasi opsional ini dapat membuat penerima terbuka terhadap serangan spoofing SMS yang ditargetkan.
Dalam muatan teks, bagian yang disebut UDH (User Data Header) adalah opsional tetapi mendefinisikan banyak fitur lanjutan yang tidak semua ponsel kompatibel. Salah satu opsi ini memungkinkan pengguna untuk mengubah alamat balasan teks. Jika ponsel tujuan kompatibel dengannya, dan jika penerima mencoba menjawab teks, ia tidak akan menanggapi nomor aslinya, tetapi ke nomor yang ditentukan.
fitur baru iphone 12 pro maxSebagian besar operator tidak memeriksa bagian pesan ini, yang berarti seseorang dapat menulis apa pun yang diinginkannya di bagian ini: nomor khusus seperti 911, atau nomor orang lain.
Dalam implementasi yang baik dari fitur ini, penerima akan melihat nomor telepon asli dan nomor balasan. Di iPhone, saat Anda melihat pesan, sepertinya itu berasal dari nomor balasan, dan Anda [kehilangan] jejak asalnya.
pod2g menyoroti beberapa cara di mana pihak jahat dapat memanfaatkan kelemahan ini, termasuk upaya phishing yang menautkan pengguna ke situs yang mengumpulkan informasi pribadi atau pesan spoofing untuk tujuan menciptakan bukti palsu atau mendapatkan kepercayaan penerima untuk memungkinkan tindakan jahat lebih lanjut.
Dalam banyak kasus, pihak jahat perlu mengetahui nama dan nomor kontak tepercaya penerima agar upaya mereka efektif, tetapi contoh phishing menunjukkan bagaimana pihak jahat dapat menyebarkan jaring luas dengan harapan menjerat pengguna dengan berpura-pura menjadi bank umum atau lembaga lain. Tetapi dengan masalah yang mengakibatkan penerima diperlihatkan alamat balasan, serangan dapat ditemukan atau digagalkan hanya dengan membalas pesan, karena pesan balasan akan dikirim ke kontak yang sudah dikenal daripada yang jahat.
Pesan Populer