Home > Notícias

Falha de SMS no iPhone é ameaça séria, afirma hacker

Segundo especialista em jailbreak, bug que afeta smartphone é "grave" e permite ataques contra usuários iOS. Apple afirma que iMessage é opção mais segura.

IDG News Service / EUA

20/08/2012 às 12h27

Foto:

A segurança no iPhone é altamente dependente da habilidade da Apple em bloquear todos os aplicativos de terceiros antes de os usuários terem acesso a eles. Mas um hacker francês alega ter encontrado uma falha no serviço de mensagens de texto do smartphone que burla essa segurança.

O hacker, que se identifica como “pod2g” e é mais conhecido por fazer jailbreak (“desbloqueio” para rodar aplicativos não liberados pela Apple) no iPhone, afirmou na sexta-feira, 17/8, que a vulnerabilidade poderia permitir que um criminoso envie uma mensagem fingindo representar um banco, empresa de cartão de crédito, ou outra fonte confiável.

Como a falha não envolve a execução de códigos, um invasor não precisa fazer o malware passar pela Apple, que aprova todos os aplicativos antes de eles serem vendidos na App Store, o único site legitimado pela empresa para o download de software para os aparelhos iOS.

Pod2g, que também afirma ser um pesquisador de segurança do iPhone, afirmou que a falha é “grave” e afeta todas as versões atuais do iOS, além do beta 4 do ainda inédito iOS 6.

“Estou muito confiante de que outros pesquisadores de segurança já sabem sobre essa brecha, e temo que outros hackers também”, afirmou em um post no seu blog.

O pesquisador sênior de segurança da Veracode, Tyler Shields, disse ao blog Kaspersky Lab que a falha merece atenção. “À primeira vista, esse tipo de falha parece inofensiva, mas na verdade ela pode ser usada muito efetivamente em golpes e engenharia social baseada em modelos de ameaças”, afirmou Shields. “Classificaria esse ataque como nível médio de severidade porque depende de enganar o usuário para fazer algo específico com base em um nível de segurança falsificado.”

Quando uma mensagem de texto é enviada por SMS no iPhone, o aparelho normalmente converte-a para um protocolo chamado PDU (Protocol Description Unit) antes de a operadora enviá-la ao número de telefone do recipiente.

Dentro da “carga” do texto há uma seção chamada UDH (User Data Reader) que permite que alguém altere o endereço de resposta do texto, afirma pod2G. Um invasor poderia usar essa falha para mostrar um número de resposta que seja diferente de onde o texto estivesse realmente saindo.

“Em uma boa implementação desse recurso, o receptor veria o número original do telefone e o de resposta”, disse. “No iPhone, quando você vê a mensagem, ela parece vir do número de resposta, e você perde o registro da origem.”

Como resultado, um criminoso poderia enviar uma mensagem que parece vir de um banco ou outra fonte confiável. Isso permitiria a busca por informações pessoais do usuário ou direcioná-lo para um site de phishing.

imessagedicas01.jpg

Segundo Apple, o seu serviço exclusivo iMessage é mais seguro do que SMS tradicional

iMessage é seguro

Em resposta ao site Engadget, a Apple indicou que o seu serviço de mensagens iMessage é uma opção mais segura para os usuários iOS. 

“A Apple leva a segurança muito a sério. Quando estiver usando o iMessage em vez de SMS, os endereços são verificados, o que protege contra esses tipos de ataques com falsificações. Uma das limitações é que ele permite que as mensagens sejam enviadas com endereços falsos para qualquer telefone, por isso pedimos aos usuários que sejam muito cuidadosos se forem direcionados para um site ou endereço desconhecido via SMS.”

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail