ダニエル・エラン・ディルガー
· 1分で読めます
「pod2g」のブログ投稿によると、iOS が SMS メッセージを処理する方法は、「返信先」アドレスを含む、SMS 仕様のユーザー データ ヘッダーのオプションの高度な機能の送信をサポートします。
すべての携帯電話がこれらの機能をサポートしているわけではなく、「ほとんどの通信事業者はメッセージのこの部分をチェックしないため、このセクションには何でも書き込める」とハッカーは書いている。このため、SMSスプーフィングの対象となるのは主にiPhoneユーザーに限られると思われる。
iPhone は受信した SMS メッセージの「返信先」アドレスのみを表示するため、ユーザーには表示されている送信者の身元を確認したり、表示されている電話番号以外の人物から送信されたかどうかを判断する方法はありません (メッセージが Apple の iMessage 経由で配信されない限り、これは暗号化されており、SMS ではないため SMS の欠陥の影響を受けません)。
Pod2g は SMS の問題について説明する際に、「コード実行には関係ないものの、[この欠陥] は深刻であると考えています」と述べています。
悪意のあるユーザーは、別のソースから送信されたように見える「なりすまし」の SMS メッセージを送信する可能性があります (これは、標準の電子メール仕様ではヘッダー データでパーティを認証しないため、電子メール スパムでは日常的に行われます)。たとえば、友人や信頼できるソース (銀行など) から送信されたように偽装されます。
ハッカーは、この動作が最新のiOS 6の4番目の開発者ベータ版でもまだ存在していると指摘し、iOS 6をリリースする前にこの問題に対処するようAppleに求めている。
