Apple har rekommenderat iPhone-ägare att använda sin egen iMessage istället för SMS, efter varningar om sms-spoofing – vilket väcker frågor om hur det egna systemet är säkrat.
En säkerhetsforskare som kallar sig ”pod2g” rapporterade att det var lätt att skicka falska textmeddelanden till iOS-enheter, eftersom operativsystemet inte tydligt visar källan till ett SMS – vilket betyder att ett text kan se ut att komma från en bank eller vän, och faktiskt kommer från någon annan.
Apple erkände den svaga punkten, men sa att användningen av iMessage undviker problemet. ”Apple tar säkerheten på största allvar,” sa Apple som svar. ”När du använder iMessage istället för SMS, verifieras adresser som skyddar mot dessa typer av spoofingattacker.”
En av begränsningarna med SMS är att det tillåter att meddelanden skickas med falska adresser till vilken telefon som helst, så vi uppmanar kunder att vara extremt försiktiga om de hänvisas till en okänd webbplats eller adress via SMS
”En av begränsningarna med SMS är att det tillåter meddelanden att skickas med falska adresser till vilken telefon som helst, så vi uppmanar kunder att vara extremt försiktiga om de dirigeras till en okänd webbplats eller adress via SMS”, tilläggs det.
Apple kommer inte bara med ursäkter, enligt Real World Columnist Davey Winder. ”Sanningen i saken är att det här inte är ett Apple-, en iPhone- eller ett iOS-problem alls: det är ett SMS-problem”, noterade han på DaniWeb. ”Hela SMS-textmeddelandesystemet har i stort sett ingenting i form av användbar autenticitetskontroll längs vägen inbyggt, det utvecklades aldrig som ett ”säkert” meddelandesystem.”
”Du behöver bara gå till Google för sms-spoofing-sajter på webben för att upptäcka att det finns många som tillhandahåller tjänsten, antingen gratis eller mot en avgift, och mottagarens telefonlur spelar ingen roll”, påpekade han. ”Så länge handenheten i sig tillåter det UDH [User Data Header] indikator för att den alternativa svarsadressen ska ändras, då är alla spel avstängda.”
Men som den ursprungliga forskaren påpekade tillåter iOS att användardatarubrikdata redigeras – och uppmanar Apple att fixa det. ”I en bra implementering av den här funktionen skulle mottagaren se det ursprungliga telefonnumret och svarsnumret,” pod2g noterat. ”På iPhone, när du ser meddelandet verkar det komma från svarsnumret och du [lose] spår av ursprunget.”
Apple lösning
Apples föreslagna lösning har en anmärkningsvärd brist: för att använda dess iMessage-system måste alla dina vänner och familj också vara iOS-användare.
Det är dock en förbättring av textmeddelanden när det gäller säkerhet, sa forskare. ”iMessage är verkligen mycket säkrare än SMS,” noterade Pod2G via Twitter. ”Jag tvivlar inte på det.”
En annan expert, professor Matthew Green från Johns Hopkins University, höll med om att iMessage verkade vara en säkerhetsförbättring, men medan Apple lovar ”säker kryptering” för iMessage, är det inte öppet om hur protokollet faktiskt fungerar.
”Vi borde veta hur säkert det är och vilka risker dessa människor tar genom att använda det,” Green sa i ett blogginlägg. ”Den bästa lösningen skulle vara att Apple helt enkelt släpper en detaljerad specifikation för protokollet – även om de behöver hålla tillbaka några viktiga detaljer. Men om det inte är möjligt, kanske vi i samhället borde göra mer för att ta reda på det.”
