SMS文本短信當(dāng)然并非蘋(píng)果或其標(biāo)志性的iPhone智能手機(jī)所獨(dú)有的，但顯然蘋(píng)果交付SMS短信的方法具有某種獨(dú)特性，才會(huì)讓iPhone用戶(hù)特別容易受到電子欺騙或SMS短信詐騙的攻擊。

SMS文本短信當(dāng)然并非蘋(píng)果或其標(biāo)志性的iPhone智能手機(jī)所獨(dú)有的，但顯然蘋(píng)果交付SMS短信的方法具有某種獨(dú)特性，才會(huì)讓iPhone用戶(hù)特別容易受到電子欺騙或SMS短信詐騙的攻擊。

一名iOS安全研究人員發(fā)表了一篇博客文章，詳細(xì)描述了他的發(fā)現(xiàn)。當(dāng)一條SMS文本短信發(fā)送時(shí)，信頭信息的部分內(nèi)容包括這條信息所來(lái)自的實(shí)際號(hào)碼，但同時(shí)還有一個(gè)名為UDH（用戶(hù)數(shù)據(jù)信頭）的可選信頭，為不同的“回復(fù)至”（Reply To）地址開(kāi)放入口。有些移動(dòng)平臺(tái)會(huì)同時(shí)顯示信息所來(lái)自的實(shí)際號(hào)碼以及來(lái)自于“回復(fù)至”字段的信息，希望在兩者有所不同的情況下為收件人發(fā)出某種警告信號(hào)。與此相比，蘋(píng)果iOS操作系統(tǒng)則僅顯示“回復(fù)至”字段中的地址信息。

問(wèn)題在于，如果攻擊者知道用戶(hù)所在金融機(jī)構(gòu)的電話(huà)號(hào)碼，或是用戶(hù)父母或上司的電話(huà)號(hào)碼，那么就能向用戶(hù)的iPhone手機(jī)發(fā)送一條來(lái)自于那個(gè)號(hào)碼的文本短信。從iPhone上看來(lái)，這條SMS文本短信看起來(lái)是來(lái)自于一個(gè)合法的來(lái)源，因此用戶(hù)對(duì)其作出回應(yīng)的可能性更高，或是更有可能遵循短信中有關(guān)共享敏感信息的請(qǐng)求，而在正常情況下用戶(hù)是不會(huì)這樣做的。

蘋(píng)果向美國(guó)科技博客癮科技（Engadget）發(fā)表聲明，對(duì)有關(guān)安全缺陷的問(wèn)題作出了回應(yīng)：“蘋(píng)果十分重視安全問(wèn)題。當(dāng)使用iMessage而非SMS時(shí)，地址會(huì)被查證以保護(hù)用戶(hù)免受這種電子欺騙攻擊。SMS文本短信的局限性之一是允許帶有欺騙性地址的信息發(fā)送到任何手機(jī)，因此我們強(qiáng)烈敦促用戶(hù)在通過(guò)SMS文本短信被導(dǎo)向未知網(wǎng)站或地址時(shí)要特別小心。”

蘋(píng)果所提供的這種“解決方案”的問(wèn)題在于，iMessage僅在iOS設(shè)備之間可用。因此，除非用戶(hù)收發(fā)短信的所有聯(lián)系人也都使用iPhone、iPad或是Mac OS X進(jìn)行通信，否則iMessage就并非實(shí)際上可行的解決方案。

這名安全研究人員在他發(fā)表的博客文章中指出：“現(xiàn)在你已經(jīng)收到了警告。永遠(yuǎn)都不要在你的iPhone上看到一條SMS文本短信的第一眼時(shí)就選擇信任它。”

這看起來(lái)是一種合理的方法，但用戶(hù)還能用其他一些元素來(lái)判定短信是否合法。首先，如果用戶(hù)收到來(lái)自于iPhone聯(lián)系人列表以外的某人的文本短信，那么通常會(huì)顯示這條短信所來(lái)自的電話(huà)號(hào)碼，而并非“媽媽”等聯(lián)系人名稱(chēng)。如上所述，如果一名攻擊者知道用戶(hù)母親的電話(huà)號(hào)碼，那么就能發(fā)送一條看起來(lái)像是來(lái)自于用戶(hù)母親的短信，其中含有電子欺騙信息；但是，即使這條信息宣稱(chēng)是來(lái)自于用戶(hù)母親，但來(lái)自于這個(gè)號(hào)碼的欺騙信息也應(yīng)該會(huì)顯示為號(hào)碼本身（而非用戶(hù)母親的號(hào)碼）。

其次，用戶(hù)還應(yīng)利用常識(shí)來(lái)作出鑒別。如果用戶(hù)會(huì)跟最好的朋友定期討論有關(guān)體育、政治以及周末去做些什么的話(huà)題，那么當(dāng)收到一條內(nèi)容僅包括“點(diǎn)擊這個(gè)鏈接”的短信時(shí)，就應(yīng)該心存懷疑。如果用戶(hù)的母親幾乎不知道SMS文本短信是什么，而且也從來(lái)都不會(huì)真正地受用SMS，那么當(dāng)用戶(hù)突然接到一條要錢(qián)的短信時(shí)就應(yīng)該提高警惕。

SMS文本短信是一種非常有用的工具，但當(dāng)然不是最安全的工具。與其他的移動(dòng)平臺(tái)性比，蘋(píng)果對(duì)SMS文本短信的履行可能更加傾向于容易受到電子欺騙的攻擊；但無(wú)論如何，當(dāng)用戶(hù)要點(diǎn)擊SMS文本短信中的鏈接或是通過(guò)SMS在任何平臺(tái)上共享敏感信息時(shí)，都應(yīng)三思而后行。在智能手機(jī)繼續(xù)變成主流設(shè)備的環(huán)境下，攻擊者也將繼續(xù)設(shè)法找到智能手機(jī)的弱點(diǎn)，并利用這些弱點(diǎn)來(lái)對(duì)用戶(hù)發(fā)起攻擊。雖然iOS相對(duì)于其他智能手機(jī)操作系統(tǒng)來(lái)說(shuō)比較安全，但也遠(yuǎn)非完美。在攻擊者越來(lái)越積極地以智能手機(jī)和平板電腦為攻擊目標(biāo)的情況之下，跨設(shè)備安全性的需求也只會(huì)繼續(xù)增強(qiáng)。

　　推薦閱讀

　　微軟將Xbox Kinect體感游戲設(shè)備下調(diào)40美元

微軟宣布，該公司將把XboxKinect體感游戲設(shè)備的價(jià)格從149.99美元永久調(diào)低至109.99美元。 微軟宣布，該公司將把Xbox Kinect體感游戲設(shè)備的價(jià)格從149.99美元永久調(diào)低至109.99美元。 微軟表示，這項(xiàng)產(chǎn)品降價(jià)措施適用于北>>>詳細(xì)閱讀

本文標(biāo)題：蘋(píng)果iPhone用戶(hù)應(yīng)如何慎防SMS欺騙攻擊

地址：http://www.sdlzkt.com/a/xie/20120330/120181.html

 1/2    1  2 下一頁(yè)