Nuova falla scoperta su iOS, ancora una volta grazie ad un hacker, pod2g, al lavoro da tempo sulle pratiche di jailbreaking dei dispositivi portatili della Mela. La falla riguarda gli SMS e sarebbe particolarmente insidiosa perché non necessita di alcun codice da eseguire e sarebbe presente su iPhone dal lancio del dispositivo originale nel 2007 fino al prossimo iOS 6.
Senza entrare a fondo nei tecnicismi, il baco su iOS consentirebbe a qualche malintenzionato di inviare un SMS impostando come falso mittente uno specifico numero di telefono, e allo stesso tempo impostare un secondo numero diverso dal primo, a cui invece verrebbe inviata un’eventuale risposta, questo sfruttando un’opzione avanzata disponibile per gli SMS.
Su iPhone l’utente riesce a distinguere solo il numero del mittente (in questo caso falso), non il numero reale di chi invia e cui verrebbe poi inviata la risposta; caratteristica che impedisce di essere certi della provenienza reale del messaggio. Questa problematica potrebbe quindi essere sfruttata da qualcuno per inviare messaggi di fishing, che sembrano arrivare, ad esempio, dalla propria banca, in cui si chiedono dati sensibili, informazioni private o codici segreti; oppure inviare SMS fingendosi qualcun altro per sviare le persone e convincerle a compiere azioni potenzialmente pericolose.
Alcuni osservatori hanno subito obiettato che la falsificazione del mittente è abbastanza comune per molti telefoni ed è realizzabile da molto tempo tramite appositi servizi; non si tratterebbe quindi di un novità o di un problema riguardante solo iPhone ma una falla insita nella stessa tecnologia degli SMS.
pod2g ha subito replicato a tono, sviluppando un tool accessibile a tutti che consente di inviare SMS falsificati agli iPhone: “ho letto alcuni commenti in giro che dicono che lo spoofing degli SMS non è una novità, che si può modificare l’indirizzo di origine di un SMS nel protocollo e così via – ha commentato concludendo – ora ditemi, come si può fare questo senza pagare un servizio dedicato?”.
Su iPhone invece sarebbe possibile e tutto potrebbero farlo sfruttando un tool simile a quello sviluppato dallo stesso hacker, che si augura che Apple ripari la falla prima dell’uscita definitiva di iOS 6.
Fonte: pod2g’s iOS blog