Jan David Hanrath
Jan David Hanrath Nieuws 17 augustus 2012

SMS beveiligingslek in iPhone [update]

Pod2G, een jailbreaker die aan de basis stond van menige iOS jailbreak, heeft een fout ontdekt in iOS 5.1.1 en iOS 6 beta 4, die verantwoordelijk is voor een beveiligingslek in de SMS-app van de iPhone. Door de fout kan iemand zich voordoen als iemand anders wat weer kan leiden tot phishing.

In het SMS-protocol zit net als in de header van een e-mail een ‘reply to’-veld. De meeste telefoons en operators negeren dit en checken het ook niet, maar de iPhone toont juist het reply-to-nummer in plaats van het nummer waar de SMS echt van afkomstig is. Hierdoor is het mogelijk om je nummer te maskeren en te doen alsof je vanaf het reply-to-nummer SMS’t. Wanneer er een bericht terug wordt gestuurd gaat dit naar het echte nummer in plaats van het getoonde nummer, zonder dat de verzender dit in de gaten heeft.

Vooral diensten die gebruik maken van SMS om gebruikers te autoriseren zijn in gevaar. Denk hierbij aan elektronisch bankieren waarbij een geheime code of valideringscode teruggestuurd moet worden via sms.

Pod2G roept Apple op om deze bug – die overigens al sinds de eerste iPhone in het besturingssysteem zit – snel op te lossen. De technische beschrijving van het probleem vind je op het blog van Pod2G.

[update] Inmiddels heeft Apple een officiële reactie gegeven aan Engadget. Apple zegt de melding uiterst serieus te nemen en geeft aan dat dit probleem zich niet voordoet wanneer gebruik wordt gemaakt van iMessage. Apple adviseert mensen om uiterst behoedzaam te zijn met het klikken op links in SMS-berichten.

Reageer op artikel:
SMS beveiligingslek in iPhone [update]
Sluiten