در یك پژوهش امنیتی كه توسط گروه pod2g مدیریت می شود یك آسیب پذیری امنیتی جدی در مدیریت پیام های كوتاه دستگاه های iOS كشف شد. این آسیب پذیری می تواند بوسیله مجرمان آنلاین مورد سوء استفاده قرار بگیرد.
به گزارش نت گارد به نفل از مرکزماهر ، این رخنه كه محققان آن را به عنوان رخنه ای "جدی" توصیف می كنند، از زمان آغاز پیاده سازی پیام كوتاه در آیفون وجود داشته است و هنوز هم در iOS نسخه 6 بتای 4 وجود دارد.
با توجه به یادداشتی در وبلاگ pod2g، فرد حمله کننده می تواند از این رخنه سوء استفاده نماید تا پیام كوتاهی را ارسال نماید كه به نظر می رسد از بانك فرستاده شده و اطلاعات حساس را درخواست می كند یا كاربران را به یك وب سایت مخرب هدایت نماید.در سناریوی دیگری، مهاجم می تواند یك پیام جعلی را برای كاربر آیفون ارسال نماید یا پیام های جعلی را به گونه ای دستكاری و ارسال نماید تا كاربران آیفون فكر كنند پیام های دریافتی از فرستنده های معتمد ارسال شده است.
به دلیل شدت این رخنه، گروه pod2g به اپل توصیه كرده است كه این مساله را قبل از انتشار iOS نسخه 6 ، برطرف نماید.
و پاسخ اپل در مورد نقص امنیتی در پیام متنی iPhone
شركت اپل به ادعاهایی مبنی بر وجود یك آسیب پذیری در تلفنهای هوشمند iPhone پاسخ داد. این آسیب پذیری به هكرها اجازه میدهد پیغامهایی را كه وانمود میشود از طرف یك بانك یا یك موسسه اعتباری هستند، جعل نمایند.
یك محقق امنیتی به نام pod2g اظهار داشت كه این آسیب پذیری از بررسیهای امنیتی اپل در مورد برنامه های متفرقه عبور میكند.
از آنجا كه این نقص امنیتی كدی را اجرا نمیكند، هكر نیاز ندارد از بررسیهای امنیتی مربوط به كدهای خرابكار كه بر روی تمامی برنامه های موبایل موجود در فروشگاه اپل وجود دارند، عبور نماید.
به گفته این محقق امنیتی، این نقص امنیتی بسیار جدی بوده و تمامی نسخه های فعلی iOS از جمله نسخه اخیر آن یعنی iOS 6 beta 4 را نیز تحت تاثیر قرار میدهد.
این محقق امنیتی اظهار داشت كه اطمینان دارد كه سایر محققان امنیتی نیز از این حفره امنیتی آگاه هستند و وی نگران است كه برخی خرابكاران نیز از آن اطلاع داشته باشند.
این مشكل مربوط به هدر یك پیام متنی است كه هر دو بخش شماره مبداء و شماره «پاسخ به» را مورد سوء استفاده قرار میدهد. زمانی كه كاربر یك پیام را مینویسد، این پیام توسط موبایل به PDU تبدیل شده و برای تحویل به مقصد، به baseband ارسال میگردد.
در سربار متن، بخشی به نام UDH (هدر داده كاربر) وجود دارد كه اختیاری است، ولی تعداد زیادی ویژگیهای پیشرفته را كه تمامی موبایلها با آنها سازگار نیستند، تعریف میكند. یكی از این گزینه ها كاربر را قادر میسازد كه آدرس «پاسخ به» متن را تغییر دهد. اگر موبایل مقصد با این ویژگی سازگار باشد، و اگر دریافت كننده سعی كند به این پیام پاسخ دهد، پاسخ وی به ارسال كننده اصلی ارسال نخواهد شد، بلكه برای شماره تغییر یافته ارسال میگردد.
به گفته pod2g، اغلب سیستمهای انتقال پیام، این بخش پیام را بررسی نمیكنند، كه این بدان معناست كه هركسی میتواند هرچه میخواهد، از جمله شماره های خاص یا شماره فرد دیگری را در این بخش بنویسد.
این محقق امنیتی افزود كه در پیاده سازی خوب این ویژگی، گیرنده شماره تلفن اصلی و شماره «پاسخ به» را مشاهده خواهد كرد. در iPhone، زمانی كه شما پیام را میبینید، به نظر میرسد كه از شماره درج شده در «پاسخ به» آن را دریافت كرده اید و در نتیجه متوجه شماره اصلی نمیگردید.
اپل در یك جمله اظهار داشت كه این شركت امنیت را بسیار جدی میگیرد.
به گفته اپل، زمانی كه از iMessage به جای SMS استفاده میشود، آدرسها مورد بررسی قرار میگیرند كه این كار از این نوع حملات جعل جلوگیری مینماید.
به گفته این شركت، یكی از محدودیتهای SMS این است كه به پیامها اجازه میدهد با آدرسهای جعلی به دیگران ارسال گردند، در نتیجه ما به كاربران توصیه اكید میكنیم كه در مورد انتقال به وب سایتها و آدرسهای ناشناخته از طریق اس ام اس، مراقب باشند.
لینک ترجمه : مركز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای:: كشف رخنه ای جدی در iOS
لینک ؛ مركز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای:: پاسخ اپل در مورد نقص امنیتی در پیام متنی iPhone
لینک مرتبط با این قضیه : New SMS spoofing bug uncovered in all versions of iOS – Cell Phones & Mobile Device Technology News & Updates | Geek.com
به گزارش نت گارد به نفل از مرکزماهر ، این رخنه كه محققان آن را به عنوان رخنه ای "جدی" توصیف می كنند، از زمان آغاز پیاده سازی پیام كوتاه در آیفون وجود داشته است و هنوز هم در iOS نسخه 6 بتای 4 وجود دارد.
با توجه به یادداشتی در وبلاگ pod2g، فرد حمله کننده می تواند از این رخنه سوء استفاده نماید تا پیام كوتاهی را ارسال نماید كه به نظر می رسد از بانك فرستاده شده و اطلاعات حساس را درخواست می كند یا كاربران را به یك وب سایت مخرب هدایت نماید.در سناریوی دیگری، مهاجم می تواند یك پیام جعلی را برای كاربر آیفون ارسال نماید یا پیام های جعلی را به گونه ای دستكاری و ارسال نماید تا كاربران آیفون فكر كنند پیام های دریافتی از فرستنده های معتمد ارسال شده است.
به دلیل شدت این رخنه، گروه pod2g به اپل توصیه كرده است كه این مساله را قبل از انتشار iOS نسخه 6 ، برطرف نماید.
و پاسخ اپل در مورد نقص امنیتی در پیام متنی iPhone
شركت اپل به ادعاهایی مبنی بر وجود یك آسیب پذیری در تلفنهای هوشمند iPhone پاسخ داد. این آسیب پذیری به هكرها اجازه میدهد پیغامهایی را كه وانمود میشود از طرف یك بانك یا یك موسسه اعتباری هستند، جعل نمایند.
یك محقق امنیتی به نام pod2g اظهار داشت كه این آسیب پذیری از بررسیهای امنیتی اپل در مورد برنامه های متفرقه عبور میكند.
از آنجا كه این نقص امنیتی كدی را اجرا نمیكند، هكر نیاز ندارد از بررسیهای امنیتی مربوط به كدهای خرابكار كه بر روی تمامی برنامه های موبایل موجود در فروشگاه اپل وجود دارند، عبور نماید.
به گفته این محقق امنیتی، این نقص امنیتی بسیار جدی بوده و تمامی نسخه های فعلی iOS از جمله نسخه اخیر آن یعنی iOS 6 beta 4 را نیز تحت تاثیر قرار میدهد.
این محقق امنیتی اظهار داشت كه اطمینان دارد كه سایر محققان امنیتی نیز از این حفره امنیتی آگاه هستند و وی نگران است كه برخی خرابكاران نیز از آن اطلاع داشته باشند.
این مشكل مربوط به هدر یك پیام متنی است كه هر دو بخش شماره مبداء و شماره «پاسخ به» را مورد سوء استفاده قرار میدهد. زمانی كه كاربر یك پیام را مینویسد، این پیام توسط موبایل به PDU تبدیل شده و برای تحویل به مقصد، به baseband ارسال میگردد.
در سربار متن، بخشی به نام UDH (هدر داده كاربر) وجود دارد كه اختیاری است، ولی تعداد زیادی ویژگیهای پیشرفته را كه تمامی موبایلها با آنها سازگار نیستند، تعریف میكند. یكی از این گزینه ها كاربر را قادر میسازد كه آدرس «پاسخ به» متن را تغییر دهد. اگر موبایل مقصد با این ویژگی سازگار باشد، و اگر دریافت كننده سعی كند به این پیام پاسخ دهد، پاسخ وی به ارسال كننده اصلی ارسال نخواهد شد، بلكه برای شماره تغییر یافته ارسال میگردد.
به گفته pod2g، اغلب سیستمهای انتقال پیام، این بخش پیام را بررسی نمیكنند، كه این بدان معناست كه هركسی میتواند هرچه میخواهد، از جمله شماره های خاص یا شماره فرد دیگری را در این بخش بنویسد.
این محقق امنیتی افزود كه در پیاده سازی خوب این ویژگی، گیرنده شماره تلفن اصلی و شماره «پاسخ به» را مشاهده خواهد كرد. در iPhone، زمانی كه شما پیام را میبینید، به نظر میرسد كه از شماره درج شده در «پاسخ به» آن را دریافت كرده اید و در نتیجه متوجه شماره اصلی نمیگردید.
اپل در یك جمله اظهار داشت كه این شركت امنیت را بسیار جدی میگیرد.
به گفته اپل، زمانی كه از iMessage به جای SMS استفاده میشود، آدرسها مورد بررسی قرار میگیرند كه این كار از این نوع حملات جعل جلوگیری مینماید.
به گفته این شركت، یكی از محدودیتهای SMS این است كه به پیامها اجازه میدهد با آدرسهای جعلی به دیگران ارسال گردند، در نتیجه ما به كاربران توصیه اكید میكنیم كه در مورد انتقال به وب سایتها و آدرسهای ناشناخته از طریق اس ام اس، مراقب باشند.
لینک ترجمه : مركز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای:: كشف رخنه ای جدی در iOS
لینک ؛ مركز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای:: پاسخ اپل در مورد نقص امنیتی در پیام متنی iPhone
لینک مرتبط با این قضیه : New SMS spoofing bug uncovered in all versions of iOS – Cell Phones & Mobile Device Technology News & Updates | Geek.com