Menú principal

sábado, 18 de agosto de 2012

Vulnerabilidad de SMS Spoofing en iPhone

El famoso Pod2g ha publicado la existencia de una vulnerabilidad en los terminales iPhone que permite en todas las versiones de iOS realizar ataques de SMS spoofing, que pueden ser utilizados para engañar a usuarios en esquemas de phishing o robar información con trucos de ingeniería social.

La vulnerabilidad se produce porque dentro del protocolo que se utiliza para enviar los mensajes de texto, llamado PDU (Protocol Description Unit), existe una sección opcional llamada UDH (User Data Header), donde se puede configurar un valor llamado reply-to para indicarle al destinatario que en caso de respuesta, ésta debe ser enviada al número que va descrito aquí.

Este valor se utiliza igual que en los correos electrónicos para conseguir crear estructuras de servicio complejas en las que se utilizan servicios de envío de mensajes SMS para el envío masivo y se quiere recibir la respuesta en el número de telefono del origen, y no de la pasarela.

Como bien explica Pod2g, en un entorno seguro, se debería poder ver el número de teléfono del que envía el SMS y el número de teléfono al que se quiere que se envíe la respuesta, para que el destinatario tenga toda la información. Sin embargo, en iPhone solo se muestra el número que aparece en reply-to, lo que hace que sea muy sencillo crear ataques de phishing con servicios de pasarela SMS en los que se pueden configurar todo estos valores. Nos unimos a la petición de Pod2g a Apple para que solucione esto en la próxima versión de iOS.

Si quieres conocer más sobre los riesgos de SMS Spoofing, te recomendamos ver esta charla que se dio en la NoConName del 2010 en Barcelona.


SMSspoofing: fundamentos, vectores de ataque y salvaguardas.

Actualización

Apple ha contestado a Engadget lo siguiente:
"Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS."
"Apple se toma la seguridad muy en serio. Cuando se usa iMessage en lugar de SMS, las direcciones son verificadas lo que protege contra ese tipo de ataques de suplantación. Una de las limitaciones de SMS es que permite que los mensajes sean enviados con direcciones suplantadas a cualquier teléfono, así que pedimos a los clientes que sean extremadamente cautelosos a la hora de ser dirigidos a cualquier URL desconocida vía un SMS"
Es cierto que el SMS spoofing puede hacerse en SMS desde hace mucho tiempo, pero en este caso no es la suplantación del origen y es más un problema a la hora de pintar los campos del paquete del teléfono. Además, los usuarios no tienen elección a la hora de enviar iMessage o SMS, ya que es la misma aplicación de mensajería la que en función del destinatario elige SMS o iMessage. Esperaremos a una mejor respuesta de Apple en el futuro.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares