Il sistema operativo mobile iOS è affetto da una vulnerabilità concernente il sottosistema di gestione dei messaggi testuali (SMS), un problema potenzialmente in grado di facilitare attacchi di phishing conto utenti ignari del numero telefonico da cui effettivamente proviene il messaggio.
A scoprire la falla è stato un hacker francese noto come “pod2g”, che ha evidenziato una errata gestione della funzionalità User Data Header (UDH) propria degli SMS presente in tutte le versioni di iOS, beta della prossima versione (6.x) inclusa. Fornendo nel messaggio un numero di telefono a cui rispondere al messaggio in luogo di quello di origine, possibilità offerta dal protocollo degli SMS, iOS mostrerebbe quello invece di quello del mittente.
Se implementata correttamente, dice pod2g, la funzionalità UDH dovrebbe rendere noto in modo esplicito il numero telefonico da cui è partito il messaggio. Nel caso di iOS, invece, un malintenzionato potrebbe sfruttarla per “camuffare” il punto di origine dietro recapiti già presenti in rubrica: facile, a tale riguardo, ipotizzare la possibilità di nascondere un link malevolo con mittente il numero telefonico della banca di cui l’utente è cliente.
L’hacker transalpino esorta Apple a correggere il problema prima della finalizzazione del codice di iOS 6, atteso al debutto in autunno assieme al prossimo iPhone. Apple, dal canto suo, per il momento risponde picche e si limita a consigliare agli utenti di usare un sistema di messaggistica alternativo come iMessage: molto più sicuro e made-in-Cupertino. Al momento, comunque, iOS risulta unico sistema vittima di questo tipo di attacchi: in un certo senso il problema sarebbe nel protocollo UDH, ma è l’implementazione Apple a metterlo in evidenza e dunque altri potrebbero aver commesso lo stesso errore.
Alfonso Maruccia