जेलब्रेक हैकर और सुरक्षा शोधकर्ता pod2g आज एक नए खोजे गए सुरक्षा मुद्दे का खुलासा किया आईओएस के सभी संस्करणों में जो दुर्भावनापूर्ण पार्टियों को एसएमएस संदेशों को धोखा देने की अनुमति दे सकता है, जिससे प्राप्तकर्ता को लगता है कि एक संदेश एक विश्वसनीय प्रेषक से आया था जब यह वास्तव में दुर्भावनापूर्ण पार्टी से आया था।
यह समस्या आईओएस द्वारा यूजर डेटा हैडर (यूडीएच) जानकारी को संभालने से संबंधित है, जो टेक्स्ट पेलोड का एक वैकल्पिक खंड है जो उपयोगकर्ताओं को कुछ जानकारी निर्दिष्ट करने की अनुमति देता है जैसे कि संदेश पर उत्तर-संख्या को भेजने की संख्या के अलावा किसी अन्य चीज़ में बदलना। आईफोन द्वारा इस वैकल्पिक जानकारी को संभालने से प्राप्तकर्ताओं को लक्षित एसएमएस स्पूफिंग हमलों के लिए खुला छोड़ दिया जा सकता है।
टेक्स्ट पेलोड में, यूडीएच (यूजर डेटा हैडर) नामक एक अनुभाग वैकल्पिक है, लेकिन बहुत सी उन्नत सुविधाओं को परिभाषित करता है जो सभी मोबाइलों के अनुकूल नहीं हैं। इन विकल्पों में से एक उपयोगकर्ता को टेक्स्ट का उत्तर पता बदलने में सक्षम बनाता है। यदि गंतव्य मोबाइल इसके साथ संगत है, और यदि रिसीवर पाठ का उत्तर देने का प्रयास करता है, तो वह मूल संख्या का जवाब नहीं देगा, लेकिन निर्दिष्ट एक पर।
2021 में कौन से सेब के उत्पाद आ रहे हैंअधिकांश वाहक संदेश के इस हिस्से की जांच नहीं करते हैं, जिसका अर्थ है कि कोई भी इस खंड में जो चाहे वह लिख सकता है: एक विशेष संख्या जैसे 911, या किसी और की संख्या।
इस सुविधा के एक अच्छे कार्यान्वयन में, रिसीवर को मूल फ़ोन नंबर और उत्तर-एक को दिखाई देगा। IPhone पर, जब आप संदेश देखते हैं, तो ऐसा लगता है कि यह उत्तर-संख्या से आया है, और आप मूल का [खो] ट्रैक करते हैं।
pod2g कई तरीकों पर प्रकाश डालता है जिसमें दुर्भावनापूर्ण पक्ष इस दोष का लाभ उठा सकते हैं, जिसमें फ़िशिंग प्रयास शामिल हैं जो उपयोगकर्ताओं को व्यक्तिगत जानकारी एकत्र करने वाली साइटों से जोड़ते हैं या झूठे सबूत बनाने या आगे नापाक कार्रवाई को सक्षम करने के लिए प्राप्तकर्ता का विश्वास हासिल करने के उद्देश्य से संदेशों को धोखा देते हैं।
कई मामलों में दुर्भावनापूर्ण पार्टी को अपने प्रयासों के प्रभावी होने के लिए प्राप्तकर्ता के विश्वसनीय संपर्क का नाम और संख्या जानने की आवश्यकता होगी, लेकिन फ़िशिंग उदाहरण दिखाता है कि कैसे दुर्भावनापूर्ण पक्ष उपयोगकर्ताओं को जाल में फंसाने की उम्मीद में व्यापक जाल डाल सकते हैं। एक आम बैंक या अन्य संस्था। लेकिन इस मुद्दे के परिणामस्वरूप प्राप्तकर्ताओं को उत्तर-पता दिखाया जा रहा है, केवल संदेश का उत्तर देकर एक हमले की खोज की जा सकती है या विफल किया जा सकता है, क्योंकि वापसी संदेश दुर्भावनापूर्ण के बजाय परिचित संपर्क में जाएगा।
लोकप्रिय पोस्ट