Эксперт компьютерной безопасности, известный под псевдонимом Pod2g, обнаружил уязвимость в стандартном модуле обработки SMS-сообщений. Уязвимость была выявлена в последней версии мобильной ОС Apple iOS 6 beta 4, однако, по утверждению специалиста, все предыдущие версии также уязвимы. Смысл уязвимости заключается в возможности произвести фишинг-атаку с подменой номера отправителя, используя лишь ошибки в реализации протокола PDU. Дело в том, что стандартное приложение для работы с SMS-сообщениями iOS отображает не реальный номер отправителя, а номер на который следует отправлять ответ. По мнению эксперта, эта возможность может быть использована в различного рода фишинг-атаках и мошеннических схемах. "Уязвимость достаточно проста в своей реализации. Скорей всего мошенники уже взяли ее на вооружение", - заявил Pod2g в своем блоге. В самой компании Apple признали факт уязвимости и опубликовали обращение к своим пользователям: "В компании Apple уделяют особое внимание безопасности своих пользователей... Не доверяйте отображаемому номеру отправителя и не используйте стандартное приложение для работы с SMS.... пока не будет выпущено исправление этой уязвимости, рекомендуется использовать приложение iMessage, которое не содержит подобной ошибки". Между тем, Pod2g представил небольшую утилиту sendrawpdu, демонстрирующую использование обнаруженной уязвимости.
Источник