SMS文本短信當然并非蘋果或其標志性的iPhone智能手機所獨有的,但顯然蘋果交付SMS短信的方法具有某種獨特性,才會讓iPhone用戶特別容易受到電子欺騙或SMS短信詐騙的攻擊。
一名iOS安全研究人員發表了一篇博客文章,詳細描述了他的發現。當一條SMS文本短信發送時,信頭信息的部分內容包括這條信息所來自的實際號碼,但同時還有一個名為UDH(用戶數據信頭)的可選信頭,為不同的“回復至”(Reply To)地址開放入口。有些移動平臺會同時顯示信息所來自的實際號碼以及來自于“回復至”字段的信息,希望在兩者有所不同的情況下為收件人發出某種警告信號。與此相比,蘋果iOS操作系統則僅顯示“回復至”字段中的地址信息。
問題在于,如果攻擊者知道用戶所在金融機構的電話號碼,或是用戶父母或上司的電話號碼,那么就能向用戶的iPhone手機發送一條來自于那個號碼的文本短信。從iPhone上看來,這條SMS文本短信看起來是來自于一個合法的來源,因此用戶對其作出回應的可能性更高,或是更有可能遵循短信中有關共享敏感信息的請求,而在正常情況下用戶是不會這樣做的。
蘋果向美國科技博客癮科技(Engadget)發表聲明,對有關安全缺陷的問題作出了回應:“蘋果十分重視安全問題。當使用iMessage而非SMS時,地址會被查證以保護用戶免受這種電子欺騙攻擊。SMS文本短信的局限性之一是允許帶有欺騙性地址的信息發送到任何手機,因此我們強烈敦促用戶在通過SMS文本短信被導向未知網站或地址時要特別小心。”
蘋果所提供的這種“解決方案”的問題在于,iMessage僅在iOS設備之間可用。因此,除非用戶收發短信的所有聯系人也都使用iPhone、iPad或是Mac OS X進行通信,否則iMessage就并非實際上可行的解決方案。
這名安全研究人員在他發表的博客文章中指出:“現在你已經收到了警告。永遠都不要在你的iPhone上看到一條SMS文本短信的第一眼時就選擇信任它。”
這看起來是一種合理的方法,但用戶還能用其他一些元素來判定短信是否合法。首先,如果用戶收到來自于iPhone聯系人列表以外的某人的文本短信,那么通常會顯示這條短信所來自的電話號碼,而并非“媽媽”等聯系人名稱。如上所述,如果一名攻擊者知道用戶母親的電話號碼,那么就能發送一條看起來像是來自于用戶母親的短信,其中含有電子欺騙信息;但是,即使這條信息宣稱是來自于用戶母親,但來自于這個號碼的欺騙信息也應該會顯示為號碼本身(而非用戶母親的號碼)。
其次,用戶還應利用常識來作出鑒別。如果用戶會跟最好的朋友定期討論有關體育、政治以及周末去做些什么的話題,那么當收到一條內容僅包括“點擊這個鏈接”的短信時,就應該心存懷疑。如果用戶的母親幾乎不知道SMS文本短信是什么,而且也從來都不會真正地受用SMS,那么當用戶突然接到一條要錢的短信時就應該提高警惕。
SMS文本短信是一種非常有用的工具,但當然不是最安全的工具。與其他的移動平臺性比,蘋果對SMS文本短信的履行可能更加傾向于容易受到電子欺騙的攻擊;但無論如何,當用戶要點擊SMS文本短信中的鏈接或是通過SMS在任何平臺上共享敏感信息時,都應三思而后行。在智能手機繼續變成主流設備的環境下,攻擊者也將繼續設法找到智能手機的弱點,并利用這些弱點來對用戶發起攻擊。雖然iOS相對于其他智能手機操作系統來說比較安全,但也遠非完美。在攻擊者越來越積極地以智能手機和平板電腦為攻擊目標的情況之下,跨設備安全性的需求也只會繼續增強。
推薦閱讀
微軟宣布,該公司將把XboxKinect體感游戲設備的價格從149.99美元永久調低至109.99美元。 微軟宣布,該公司將把Xbox Kinect體感游戲設備的價格從149.99美元永久調低至109.99美元。 微軟表示,這項產品降價措施適用于北>>>詳細閱讀
地址:http://www.sdlzkt.com/a/xie/20120330/120181.html
網友點評
精彩導讀
科技快報
品牌展示