오늘의 탈옥 해커 및 보안 연구원 pod2g 새로 발견된 보안 문제 공개 모든 iOS 버전에서 악의적인 당사자가 SMS 메시지를 스푸핑하도록 허용하여 실제로는 악의적인 당사자가 보낸 메시지를 신뢰할 수 있는 보낸 사람이 보낸 것으로 생각하게 만듭니다.
이 문제는 사용자가 메시지의 회신 번호를 발신 번호가 아닌 다른 번호로 변경하는 것과 같은 특정 정보를 지정할 수 있도록 하는 텍스트 페이로드의 선택적 섹션인 iOS의 사용자 데이터 헤더(UDH) 정보 처리와 관련이 있습니다. iPhone이 이 선택적 정보를 처리하면 수신자가 표적 SMS 스푸핑 공격에 노출될 수 있습니다.
텍스트 페이로드에서 UDH(User Data Header)라는 섹션은 선택 사항이지만 모든 모바일이 호환되지 않는 고급 기능을 많이 정의합니다. 이러한 옵션 중 하나를 사용하여 사용자는 텍스트의 회신 주소를 변경할 수 있습니다. 대상 모바일이 호환되고 수신자가 텍스트에 응답하려고하면 원래 번호가 아니라 지정된 번호에 응답합니다.
애플워치 시리즈 se vs 6대부분의 통신 사업자들은 메시지의 이 부분을 확인하지 않습니다. 즉, 911과 같은 특수 번호 또는 다른 사람의 번호와 같이 이 섹션에 원하는 모든 것을 쓸 수 있습니다.
이 기능을 잘 구현하면 수신자는 원래 전화 번호와 회신 전화 번호를 볼 수 있습니다. iPhone에서 메시지를 볼 때 답장 번호에서 온 것처럼 보이고 출처를 [잃는] 것입니다.
pod2g는 사용자를 개인 정보를 수집하는 사이트로 연결하는 피싱 시도 또는 잘못된 증거를 생성하거나 추가 악의적인 행동을 가능하게 하기 위해 수신자의 신뢰를 얻을 목적으로 메시지를 스푸핑하는 것을 포함하여 악의적인 당사자가 이 결함을 이용할 수 있는 여러 방법을 강조합니다.
많은 경우에 악의적인 당사자는 그들의 노력이 효과를 발휘하기 위해 수신자의 신뢰할 수 있는 연락처의 이름과 번호를 알아야 하지만 피싱의 예는 악의적인 당사자가 가장하여 사용자를 올가미하기 위해 광범위한 그물을 던질 수 있는 방법을 보여줍니다. 일반 은행 또는 기타 기관. 그러나 수신자에게 회신 주소가 표시되는 문제로 인해 회신 메시지가 악의적인 사람이 아닌 친숙한 연락처로 이동하기 때문에 단순히 메시지에 회신하여 공격을 발견하거나 저지할 수 있습니다.
인기 게시물