האקר חשף: מערכת הסמסים של האייפון פרוצה לגמרי

הבעיה טמונה בשינוי המספר אליו הסמס נישלח בחזרה. כך, בעוד שהטמעה מוצלחת תאפשר לראות מאיפה באמת נשלחה ההודעה, באייפון המערכת פרוצה. תגובת אפל: השתמשו ב-iMessage

טוב שיש האקרים בעולם, וטוב שהם נחמדים מספיק כדי להזהיר את כולנו  -. ההאקר pod2g פירסם בבלוג שלו פוסט לפיו משתמשי האייפון מקבלים הודעות טקסט לא בטוחות בשל פגם חמור באבטחה, וכי הבעיות האלה נותרו גם בגרסת הבטא של iOS6.

מקור: flickr, cc-by ilamont.com

ההודעות אליהן הוא מתכוון נראות דומות לספאם שכולנו למרבה הצער רגילים לקבל במייל. משהו בסגנון “רוצים לקבל מידע על החשבון שלכם? ענו להודעה זו בציון מספר החשבון ותעודת הזהות”.

לענות בלי לדעת לאן

“מצאתי תקלה ב-iOS שלדעתי היא חמורה”, כתב ההאקר. “היא אומנם לא מערבת הרצת קוד, אך אני עדיין בטוח שישנם כמה חוקרי אבטחה שמודעים לחור הזה, ואני חושש שגם כמה פיראטים. הבעיה הזו קיימת מאז הטמעת ה-SMS באייפון, והיא עדיין שם”. ההאקר החביב אף הוסיף פנייה נרגשת: “אפל, אנא תקנו את זה לפני שחרור הגרסה הסופי”.

הוא מסביר כי הפריצה מבוססת על הטכנולוגיה לפיה עובדת מערכת שליחת ההודעות. בפרוטוקול הבסיסי, שנקרא PDU, ישנו שדה שנקרא UDH (User Data Header), או בתרגום חופשי – כותרת מידע משתמש. השדה הזה אומנם אופציונאלי, אך מאפשר להגדיר לא מעט אפשרויות מתקדמות, אחת מהן היא לשנות את הכתובת אליה נשלח הטקסט. במלים פשוטות: אתם תחשבו שקיבלתם סמס מהבנק, אתם תחשבו שאתם עונים לבנק, אך למעשה התשובה שלכם תגיע לקבוצת נוכלים.

אפשר כמובן גם לעשות עם זה דברים חיוביים, כמו האפשרות לשגר את התשובה ישירות לשירותי החירום. בהטמעה נכונה, לא תהיה שום בעיה, שכן מקבל ההודעה יראה את המספר ממנו היא התקבלה יחד עם המספר לתשובה. באייפון כבר ישנה בעיה: ההודעה נראית כאילו היא נשלחה מהמספר אליו יש להשיב ואין שום דרך לעקוב אחר המקור.

אפל: “היו זהירים למי אתם עונים בסמס, השתמשו ב-iMessage”

לטענת ההאקר, הבעיה קיימת במערכת כבר שנים. עם זאת, עד כה לא התקבל מספר משמעותי של תלונות בנושא, כך שכנראה הספאמרים רודפי הבצע עוד לא עלו על הטריק.

כאמור, התקלה קיימת גם בגרסת הבטא החדשה של אפל. עד שתתוקן, אם במקרה קיבלתם סמס מהבנק של ניגריה, בו כתוב שיש לכם חשבון חדש ונוצץ, זו כנראה לא הירושה מהדוד הזקן שאפילו לא הכרתם. במלים אחרות, מעכשיו גם האייפון שלכם נגוע בבעיה הקשה ביותר של עולם המיילים – ספאם, ספאם, ספאם.

ואפל? היא חייבת אי-אלו תודות לאומת ההאקרים שעושה עבורה שירות חשוב במיוחד, רוב הזמן בחינם. עם זאת, הגישה שלה קצת, איך לנסח זאת, צבועה. מצד אחד, היא מערימה קשיים על כל משתמש שרוצה לפרוץ את האייפון שלו, ולאחרונה אף הבהירה כי מפתחי תוכנות פריצה הם לא יותר מסוחרי סמים וטרוריסטים. מצד שני, היא לא היססה להטמיע במערכת ההפעלה שלה אי-אלו פיצ’רים שפותחו על ידי האקרים במהלך השנים האחרונות. כך למשל “מרכז ההתרעות”, אחד מהשיפורים הגדולים ביותר שהוצגו ב-iOS5, הוא למעשה פיצ’ר שהיה זמין מזה זמן רב בסידיה, חנות האפליקציות הלא חוקיות.

תגובת החברה לתגלית של pod2g אינה מפתיעה, אך בהחלט מרגיזה. לטענתה, היא מתייחסת לבטיחות ברצינות רבה. ואיך נמנעים מנזקי התקלה? פשוט לא שולחים סמסים, אלא משתמשים ב-iMessage.

עוד הוסיפה החברה: “אחת ממגבלות הסמס היא שהוא מאפשר לשלוח הודעות עם כתובות מזוייפות לכל מכשיר, לכן אנו מפצירים במשתמשים שלנו, היו זהירים מאוד אם אתם מופנים לכתובת אינטרנט כלשהי דרך הודעת סמס”. יופי אפל. עם כזו תגובה, לא נותר אלא לקוות שהחברה תעשה מה שכבר הוכיחה שהיא יודעת לעשות במקרים דומים, ותשכור את ההאקר האחראי לשורותיה. כך לפחות נדע שאולי ב-iOS7 הסמסים שלנו יהיו בטוחים.

Avatar

נועה זהבי רז

נועה רז, בת 30. חיה באינטרנט מאז 1999, חובבת ג'אדג'טים אך לא יודעת מה עושים איתם, וכותבת, בעיקר על כלום.

הגב

8 תגובות על "האקר חשף: מערכת הסמסים של האייפון פרוצה לגמרי"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Nitzan Weidenfeld
Guest

חסר: המצב באנדרואיד, דרכי התמודדות, הוכחה לכך שאפל מאשימה מפתחי אפליקציות בסידייה בסחר בסמים ועריכה… עריכה… עריכה…

Eran Betzalel
Guest

אני אישית לא מת על Apple וליין המוצרים שלה, אבל לדעתי הכתבה הזאת עושה הר מעכבר, מהסיבה הפשוטה שבכל פרוטוקול יש כל מיני שדות אופציונלים שאפשר לנצל אותם ובגלל זה מפעילות הסלולר או נותני השירות יודעים לסנן את המידע על השדות הללו.
אין לזה שום קשר לiPhone או Apple, זה פרוטוקול סטנדרטי לחלוטין, שApple מימשו אותו כמו שצריך והאחריות האבטחתית היא על המפעילות הסלולריות שגם ככה כבר עושות את זה עוד מהמצאת הSMS.

Shahar Zrihen
Guest

ניוזגיק – אתם מלכלכים עם הכתבות הלא רציניות הללו.
כפי שכתבו פה, אין פה בעיה של אפל אלא להיפך, אם משתמשים בפתרון של אפל הiMessage אז אין את הבעיה הזו.
אותה בעיה דרך אגב יש גם במיילים, באתרים שמתחזים ועוד. האם בכולם אפל אשמה?
חבל שהכתבת מציגה את הדברים בצורה כזו שרק מעלה תהיות מדוע היא יוצאת נגד אפל על בעיה בפורמט הסמס עצמו.

Ishay Lin
Guest

חובבנות לשמה

Shahar Zrihen
Guest

ב ENGADGET יש את הפיסקה הזו בסוף הכתבה –
Even if you aren't on an iPhone, we'd like to remind you to be careful when texting. There are numerous services out there that let you send a message that appears to be from anybody you like — regardless of what model, OS or even carrier the recipient is using. All the more reason to think twice before filing that loan application over SMS.

סתם אחד
Guest

אני מסכים עם המגיבים האחרים, זה לא קשור לאפל ולא קיים רק באייפון.
בנוסף, אפל לא אמרה “אז תפסיקו להשתמש ב-SMS ותעברו ל-iMessage” (כמו שמובן מהכתבה), אלא אמרה שכשמשתמשים ב–iMessage, המספרים (או כתובות אימייל) מאומתים, ולכן זה יותר בטוח מ-SMS.

גיל
Guest

אבל רק עם לצד השני יש אייפון אז ההודעה תישלח מ-IMESSAGE עם אין לו אייפון אז זה ישלח כ-SMS רגיל

דוד
Guest

newsgeek, הכתבה הזו ברמה נמוכה עם כותרת שערוריתית ומטעה.
לא חייב לכתוב שקרים כדי למשוך קוראים, זה יוצר רק את ההפך.

הייתי מצפה מכם לחקור את הנושא יותר לעומק לפני שאתם כותבים את זה, ככה נהגתם עד עכשיו, אין סיבה שתשתנו

wpDiscuz

תגיות לכתבה: