Alfonso Maruccia

iOS abbocca al phishing via SMS

Identificata una vulnerabilità del sistema mobile di Apple. Il mittente di un SMS può mascherarsi dietro credenziali affidabili. Cupertino suggerisce di aggirare il problema usando iMessagge

Roma - Il sistema operativo mobile iOS è affetto da una vulnerabilità concernente il sottosistema di gestione dei messaggi testuali (SMS), un problema potenzialmente in grado di facilitare attacchi di phishing conto utenti ignari del numero telefonico da cui effettivamente proviene il messaggio.

A scoprire la falla è stato un hacker francese noto come "pod2g", che ha evidenziato una errata gestione della funzionalità User Data Header (UDH) propria degli SMS presente in tutte le versioni di iOS, beta della prossima versione (6.x) inclusa. Fornendo nel messaggio un numero di telefono a cui rispondere al messaggio in luogo di quello di origine, possibilità offerta dal protocollo degli SMS, iOS mostrerebbe quello invece di quello del mittente.

Se implementata correttamente, dice pod2g, la funzionalità UDH dovrebbe rendere noto in modo esplicito il numero telefonico da cui è partito il messaggio. Nel caso di iOS, invece, un malintenzionato potrebbe sfruttarla per "camuffare" il punto di origine dietro recapiti già presenti in rubrica: facile, a tale riguardo, ipotizzare la possibilità di nascondere un link malevolo con mittente il numero telefonico della banca di cui l'utente è cliente.
L'hacker transalpino esorta Apple a correggere il problema prima della finalizzazione del codice di iOS 6, atteso al debutto in autunno assieme al prossimo iPhone. Apple, dal canto suo, per il momento risponde picche e si limita a consigliare agli utenti di usare un sistema di messaggistica alternativo come iMessage: molto più sicuro e made-in-Cupertino. Al momento, comunque, iOS risulta unico sistema vittima di questo tipo di attacchi: in un certo senso il problema sarebbe nel protocollo UDH, ma è l'implementazione Apple a metterlo in evidenza e dunque altri potrebbero aver commesso lo stesso errore.

Alfonso Maruccia
256 Commenti alla Notizia iOS abbocca al phishing via SMS
Ordina
  • Bello questo virus, sfrutta la proverbiale libertà di Android: prende possesso del terminale e dà un calcio in culo al proprietario.
    Beh, del resto la libertà assoluta è proprio questa, vince il più furbo e/o il piu forte.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Bello questo virus, sfrutta la proverbiale
    > libertà di Android: prende possesso del terminale
    > e dà un calcio in culo al
    > proprietario.

    Mi sembra che il calcio sul retro te lo dia anche Ios e senza virus...

    > Beh, del resto la libertà assoluta è proprio
    > questa, vince il più furbo e/o il piu
    > forte.

    Invece far parte di uno sparatuto gruppo fanatico con dispositivi castrati è meglio eh ?
    non+autenticato
  • - Scritto da: EType
    > - Scritto da: ruppolo
    > > Bello questo virus, sfrutta la proverbiale
    > > libertà di Android: prende possesso del
    > terminale
    > > e dà un calcio in culo al
    > > proprietario.
    >
    > Mi sembra [cut.]

    Appunto.
    maxsix
    9889
  • - Scritto da: maxsix
    > - Scritto da: EType
    > > - Scritto da: ruppolo
    > > > Bello questo virus, sfrutta la
    > proverbiale
    > > > libertà di Android: prende possesso del
    > > terminale
    > > > e dà un calcio in culo al
    > > > proprietario.
    > >
    > > Mi sembra [cut.]
    >
    > Appunto.

    il calcio sul retro te lo da anche Ios e senza virus...Occhiolino
    non+autenticato
  • - Scritto da: EType
    > - Scritto da: maxsix
    > > - Scritto da: EType
    > > > - Scritto da: ruppolo
    > > > > Bello questo virus, sfrutta la
    > > proverbiale
    > > > > libertà di Android: prende possesso
    > del
    > > > terminale
    > > > > e dà un calcio in culo al
    > > > > proprietario.
    > > >
    > > > Mi sembra [cut.]
    > >
    > > Appunto.
    >
    > il calcio sul retro te lo da anche Ios e senza
    > virus...
    >Occhiolino

    Si si [cit.]
    maxsix
    9889
  • Perchè hai un contratto con China Mobile?
    Comunque la notizia ha oltre 24 ore, quindi primo de che?
    non+autenticato
  • - Scritto da: Rover
    > Perchè hai un contratto con China Mobile?
    > Comunque la notizia ha oltre 24 ore, quindi primo
    > de
    > che?

    No, ma la voglia di fare un app zanza sui vostri Androcosi che vi pulisca un po' la ricaricabile cresceOcchiolino
    maxsix
    9889
  • - Scritto da: maxsix

    > No, ma la voglia di fare un app zanza sui vostri
    > Androcosi che vi pulisca un po' la ricaricabile
    > cresce
    >Occhiolino

    Falla è pubblicala sul market,che problema c'è per un tipo in gamba come teOcchiolino
    non+autenticato
  • - Scritto da: EType
    > - Scritto da: maxsix
    >
    > > No, ma la voglia di fare un app zanza sui vostri
    > > Androcosi che vi pulisca un po' la ricaricabile
    > > cresce
    > >Occhiolino
    >
    > Falla è pubblicala sul market,che problema c'è
    > per un tipo in gamba come te
    >Occhiolino

    Guarda, ho altro da fare, ma se avessi tempo lo farei.
    Ma non così, troppo facile e troppo sgamabile.

    Io sai come farei?
    Ti spiego.
    Mi procurerei il sorgente completo di una bella ROM biscottata che a voi piace tanto.
    Gli farei una bella modifica e ri personalizzazione, per farvela diventare interessante.
    Inserirei un bel rootkit a livello dei driver di gestione della baseband, in modo che ad ogni contatto con una cella vada in esecuzione.
    Al rootkit allegherei un bot che mi apra una porta a scadenza voluta e una shell con diritti di root.
    Poi avrei solo da scegliere che fine fare ai vostri terminali androcosi.

    Più o meno eh.

    PS: vuoi che sia il primo e l'unico ad averlo pensato.... hmmmm.....
    -----------------------------------------------------------
    Modificato dall' autore il 23 agosto 2012 13.29
    -----------------------------------------------------------
    maxsix
    9889
  • - Scritto da: maxsix

    > Guarda, ho altro da fare, ma se avessi tempo lo
    > farei.

    Ma no dai...il tempo nemico dell'essere umano...chi lo avrebbe dettoA bocca aperta

    > Ma non così, troppo facile e troppo sgamabile.

    Come sgamabile,ma se non se ne accorge nessuno..e anche se fosse ne puoi sempre fare un'altraOcchiolino

    > Io sai come farei?
    > Ti spiego.

    Dimmi dimmiA bocca aperta

    > Mi procurerei il sorgente completo di una bella
    > ROM biscottata che a voi piace
    > tanto.

    Si ...

    > Gli farei una bella modifica e ri
    > personalizzazione, per farvela diventare
    > interessante.

    Si....

    > Inserirei un bel rootkit a livello dei driver di
    > gestione della baseband, in modo che ad ogni

    Che paroloniSorride ...ma continuiamo daiSorride

    > contatto con una cella vada in
    > esecuzione.

    Roba avanzata,insommaSorride

    > Al rootkit allegherei un bot che mi apra una
    > porta a scadenza voluta e una shell con diritti
    > di
    > root.

    Ehhh ....esageratoA bocca aperta

    > Poi avrei solo da scegliere che fine fare ai
    > vostri terminali
    > androcosi.

    Capisco ....c'è da temere alloraA bocca aperta

    > Più o meno eh.
    >
    > PS: vuoi che sia il primo e l'unico ad averlo
    > pensato....
    > hmmmm.....

    Mi stai dicendo che hai fatto un copia e incolla da qualche altra parte ???

    Quindi quelli che hanno una Rom modificata hanno tutti il credito prosciugato ?

    Sicuro di non dimenticare nulla in tutta questa procedura ???
    non+autenticato
  • L'inizio della notizia recita così:
    "Identificata una vulnerabilità del sistema mobile di Apple. "

    Ma COME??? VULNERABILITà?? MA NON LA APPLE NON SFORNAVA SISTEMI SICURISSIMI SUPERMEGAFATANSICIEIPERSICURI??

    fUCK plEASE!!
    non+autenticato
  • Ti si è invertito il CapsLock?
    non+autenticato
  • iOS è sicuro, ma ha dei bug, come tutti. Il problema è tutto qui.
    Vediamo se i fanboy Apple ci riescono o la tireranno lunga finché Apple non risolverà, al che diranno che trattasi di generosa e intelligente soluzione.
    non+autenticato
  • - Scritto da: Free world
    > iOS è sicuro, ma ha dei bug, come tutti. Il
    > problema è tutto
    > qui.
    > Vediamo se i fanboy Apple ci riescono o la
    > tireranno lunga finché Apple non risolverà, al
    > che diranno che trattasi di generosa e
    > intelligente
    > soluzione.

    No no è solo colpa degli utenti che ancora usano gli SMS anzichè ImessageSorride
    non+autenticato
  • Non c'è alcun bug. Punto.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Non c'è alcun bug. Punto.

    Giusto un allucinazione dell'hacker...A bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • Visto che qua siete tutti presunti informatici (del menga, a mio avviso), secondo voi il mittente indicato nei messaggi email è il "From:" o il/i "Received: from"?
    ruppolo
    33147
  • La supponenza è cattiva e sgradevole consigliera.
    non+autenticato
  • - Scritto da: rover
    > La supponenza è cattiva e sgradevole consigliera.

    A corto di argomenti?
    ruppolo
    33147
  • Vado di fretta....
    non+autenticato
  • mi spieghi che razzo c'entra? o è solo perchè non hai ancora capito cosa riguarda il bug dell'iphone? parli degli altri che non capiscono l'informatica e tu te ne esci con ste storie? tu hai seri problemi mentali dovuti al fatto che compri prodotti apple, sempre più ignorante
    non+autenticato
  • Interessante vedere come un ultra-fan-troll come te riesca, con una domanda semplice semplice, a mettere nel panico tutti questi esperti di tecnologia avanzata.

    A bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • Premetto che non sono un esperto di protocolli mail, però, se lo fossi, avrei risposto come gli altri snobbando uno che si comporta da gallo e che (quasi) tutti vedono essere un cappone...
    Il campo "Received: from" non c'entra una cippa: primo perché non è un campo (from è un sotto-campo di Received, ci sono anche by e via), poi perché il campo Received serve a tracciare il percorso tra i server (può anche essere presente più volte) che fa una mail e quindi nessun client di posta (tra i vari che ho usato) lo mostra a meno che io non vada a vedere gli header.
    So di aver perso tempo a rispondere ad un troll che dava corda ad un cappone, però il tono da gran sapientone sfottente che ti sei dato meritava...
    non+autenticato
  • - Scritto da: UbuPinguino
    > Premetto che non sono un esperto di protocolli
    > mail, però, se lo fossi, avrei risposto come gli
    > altri snobbando uno che si comporta da gallo e
    > che (quasi) tutti vedono essere un
    > cappone...

    Si potrebbe interpretare come un non saper rispondere.

    > Il campo "Received: from" non c'entra una cippa:
    > primo perché non è un campo (from è un
    > sotto-campo di Received, ci sono anche by e via),
    > poi perché il campo Received serve a tracciare il
    > percorso tra i server (può anche essere presente
    > più volte) che fa una mail e quindi nessun client
    > di posta (tra i vari che ho usato) lo mostra a
    > meno che io non vada a vedere gli
    > header.

    Tu sei il primo a saper rispondere, bravo.

    > So di aver perso tempo a rispondere ad un troll
    > che dava corda ad un cappone,

    Hai perso tempo dimostrando piú intelligenza di altri, tutto qua.

    > però il tono da
    > gran sapientone sfottente che ti sei dato
    > meritava...

    Ho solo notato che ad una semplice domanda le risposte sono state per lo piú delle offese, dalla mia esperienza questo succede quando l'interlocutore ha il caricatore vuoto.
    non+autenticato
  • Complimenti: hai un ottimo specchio....
    Comunque, come ho già scritto, se c'è un problema non è un problema, se c'è l'intenzione e la capacità di correggerlo.
    Diventa un problema se non si accetta la realtà.
    Che poi un fan trolloso e frustrato cerchi un improbabile arrampicata sugli specchi, dall'esito certo (scivolata con caduta finale) tentando un improbabile paragone tra protocollo SMS e email, dimostra almeno carenza di buonafede. Comunque l'esperto informatico è il fa trolloso.
    non+autenticato
  • E chi ha parlato di campi, a parte te?
    ruppolo
    33147
  • Ios ...il sistema opertivo migliore ...meno male.

    Un paio di anni fà c'era il bug su iphone che faceva cadere la linea.
    Risposta Apple : "E' l'utente che non usa in modo appropriato lo smarphone".Tanto perchè teneva ai suoi clienti.

    Ora esce il bug degli SMS,come si comporta Apple ??
    Risposta Apple : "L'utente deve usare Imessage al posto degli SMS."

    Risposta interessante visto l'alto numero di Iphone in giro....
    Tutti hanno un Iphone giusto ??? e tutti hanno uno smartphone collegato sempre ad internet.Immessage c'è anche per altre piattaforme,vero ?

    Ma la cosa più bella è che fa spallucce all'hacker ..senza neanche ringraziarlo...caro Hacker la prossima volta fatti gli affari tuoi.
    A Apple non piace essere contraddettaOcchiolino

    Solo l'Iphone è riuscito ad avere problemi per 2 servizi base della telefonia mobile,una cosa che può fare un qualsiasi cellulare da 25 Euro.

    Apple = follia
    non+autenticato
  • taci! quello che dice apple e' il giusto!, sempre
  • - Scritto da: Sherpya
    > taci! quello che dice apple e' il giusto!, sempre

    :DA bocca apertaA bocca aperta si se si vuol essere il classico soldatino ubbidienteA bocca apertaA bocca apertaA bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)