Lỗi iPhone SMS là "mối đe dọa cực nghiêm trọng"

Những kẻ tấn công có thể gửi tin nhắn như thể đến từ một nguồn tin cậy.

Bảo mật trên iPhone phụ thuộc vào khả năng của Apple thẩm tra ứng dụng bên thứ ba trước khi người dùng tải về. Nhưng một hacker Pháp vừa tuyên bố anh ta đã phát hiện một lỗ hổng trong dịch vụ tin nhắn SMS của iPhone có thể vượt qua sự kiểm soát của Apple.

Lỗ hổng iPhone SMS

Theo CSO, chuyên trang về an ninh mạng, hacker người Pháp này tự gọi mình là "pod2g" và nổi tiếng về jailbreak iPhone. Hôm qua, ngày 17/8, anh ta cho biết lỗ hổng mình phát hiện ra có thể để kẻ tấn công gửi tin nhắn giả khiến người dùng tưởng là từ ngân hàng, hãng tín dụng và các nguồn tin cậy khác.

Lỗ hổng này không liên quan đến mã thực thi, kẻ tấn công không cần phải làm cho mã độc vượt qua được hàng rào bảo vệ của Apple – mọi ứng dụng di động phải được Apple chấp thuận trước khi đưa lên bán tại App Store, website hợp pháp duy nhất để các thiết bị di động của Apple tải về phần mềm.

Pod2g, tự nhận là nhà nghiên cứu bảo mật iPhone, cho biết lỗ hổng này "cực nghiêm trọng" và ảnh hưởng đến tất cả các phiên bản hệ điều hành iOS cũng như bản beta 4 của iOS 6 mới nhất. iOS là hệ điều hành dùng cho iPhone và iPad.

"Tôi rất tự tin cho rằng các nhà nghiên cứu bảo mật khác cũng đã biết về lỗ hổng này rồi và tôi sợ rằng một số kẻ xấu cũng đã biết về nó", Pod2g viết trên blog.

Apple chưa có phản ứng gì về thông tin này.

Hacker Pod2g giải thích khi tin nhắn gửi đi qua dịch vụ tin nhắn iPhone SMS, iPhone sẽ đặc biệt chuyển nó thành một giao thức gọi là Protocol Description Unit (PDU) trước khi nhà mạng chuyển nó đến số điện thoại của người nhận.

Trong đoạn mã text có một section tên là User Data Header (UDH) cho phép ai đó thay đổi địa chỉ trả lời của tin nhắn. Kẻ tấn công có thể sử dụng lỗ hổng này để hiển thị số reply khác với số mà lẽ ra tin nhắn phản hồi cần đến.

Kết quả là, tin tặc có thể gửi tin nhắn có vẻ như là đến từ một ngân hàng hoặc một nguồn tin cậy khác. Điều này sẽ cho phép tội phạm hoặc lấy được thông tin cá nhân hoặc hướng người nhận đến một website lừa đảo.

Hải Ninh

Đánh giá gần đây
Đọc nhiều nhất Phản hồi nhiều nhất

1 'Trà xanh' là gì mà cư dân mạng sôi sục tìm kiếm?

2 Chiêu thức bán hàng "AU" fake trên mạng của chuỗi AE shop Việt Nam vừa bị thu giữ 7.000 sản phẩm nhái

3 Ông Trump sẽ nhận mức lương hưu và đãi ngộ thế nào khi đã hết nhiệm kỳ?

4 Nếu Twitter không cấm cửa Tổng thống Trump…

5 Hai máy giặt lồng ngang “đấu súng”: truyền động trực tiếp hay dây curoa sẽ thắng thế?

Tin Liên quan
Các tin khác
a
Xem thêm
Góc nhìn VNREVIEW