http://www.gadgety.co.il/wp-content/themes/main/thumbs/apple-sms-623x344.jpgבסוף השבוע האחרון פרסם ההאקר pod2g פרטים אודות פירצת אבטחה חמורה
במערכת ההודעות של מערכת הפעלה iOS. על פי pod2g, הפירצה מאפשרת משלוח
הודעות SMS בשמו של מישהו אחר וקבלת תשובה מהנמען אל מספר אחר מזה שהוא
חשב שאיתו הוא מתכתב. נדגים בפשטות – באפשרותי לשלוח לאוהד צדוק הודעת
SMS שתיראה כאילו נשלחה מהבנקאי שלו, וכשאוהד ישיב על ההודעה – אני הוא
זה שיקבל את התשובה, ולא הבנקאי.
עוד מוסיף ההאקר בבלוג שלו כי הבעיה קיימת מאז נחשפה iOS לראשונה ב-2007,
כשעוד נקראה iPhone OS. ואיך בדיוק זה קורה? ההאקר מסביר שבמכשיר האייפון
ניתן לשנות בקלות יחסית את פרטי ה-UDH של הודעות ה-SMS, היכן שנשמרים
בעצם פרטי השולח וגם המספר אליו יש לשלוח את התגובה באם תהיה כזאת.
ההשלכות יכולות לפגוע לא רק במשתמשי האייפון אלא גם במחזיקי מכשירים
אחרים, מבוססי אנדרואיד למשל. בסיום, ההאקר דורש מאפל לתקן את פירצת
האבטחה עם יציאתה מבטא של מערכת ההפעלה iOS בגרסה 6, פן ייפגעו לקוחותיה.
אתר Engadget ביקש בסוף השבוע את תגובתה של חברת אפל לדברים וזו מסרה לו
את ההצהרה הבאה:
"חברת אפל נוהגת ברצינות רבה בענייני אבטחת מידע. כשמשתמשים בשירות
iMessage במקום ב-SMS, כתובות המשלוח מאומתות ולא יכול להיווצר מקרה כגון
זה שתואר. אחת המגבלות בפרוטוקול העברת הנתונים של ה-SMS היא היכולת
להעביר הודעות עם כתובות מזויפות מכל ולכל טלפון. אנו קוראים לכל
לקוחותינו לנקוט במשנה זהירות בעת שימוש בפרטים ובכתובות לא מזוהות
הנשלחות בהודעות SMS".
נזכיר, כי שירות ה-iMessage בו ממליצה אפל ללקוחותיה להשתמש, זמין אך ורק
במכשירי אפל המבוססים על מערכת ההפעלה iOS 5 ומעלה המחוברים לרשת
האינטרנט. משמעות הדבר היא שאפל סיפקה כעת פתרון חלקי המיועד בעבור
משתמשי iOS 5+ בלבד והשאירה תחת סיכון את כל היתר (בעיקר את אלו שאינם
עושים שימוש במכשיריה). יתרה מזאת – בתגובתה החברה אינה מראה צורך לטיפול
בשורש הבעיה.
אנו מאמינים שפרשייה זו לא תסתיים כאן ושתזכה בימים הקרובים להתפתחויות
נוספות. באם דבריה של אפל נכונים, ייתכן מאד שנשמע על בעיה דומה או אפילו
זהה גם במערכות הפעלה אחרות, לרבות אנדרואיד. נמשיך לעקוב ולעדכן בנושא.
קישור לכתבה:
http://www.gadgety.co.il/47777/%D7%90%D7%A4%D7%9C-%D7%91%D7%AA%D7%92%D7%95%D7%91%D7%94-%D7%9C%D7%A4%D7%99%D7%A8%D7%A6%D7%AA-%D7%90%D7%91%D7%98%D7%97%D7%94-%D7%97%D7%9E%D7%95%D7%A8%D7%94-%D7%9C%D7%90-%D7%91%D7%98%D7%95%D7%97/