SMS欺騙攻擊
北京時間8月22日消息,SMS文本短信當(dāng)然并非蘋果或其標(biāo)志性的iPhone智能手機(jī)所獨有的,但顯然蘋果交付SMS短信的方法具有某種獨特性,才會讓iPhone用戶特別容易受到電子欺騙或SMS短信詐騙的攻擊。
一名iOS安全研究人員發(fā)表了一篇博客文章,詳細(xì)描述了他的發(fā)現(xiàn)。當(dāng)一條SMS文本短信發(fā)送時,信頭信息的部分內(nèi)容包括這條信息所來自的實際號碼,但同時還有一個名為UDH的可選信頭,為不同的“回復(fù)至”地址開放入口。有些移動平臺會同時顯示信息所來自的實際號碼以及來自于“回復(fù)至”字段的信息,希望在兩者有所不同的情況下為收件人發(fā)出某種警告信號。與此相比,蘋果iOS操作系統(tǒng)則僅顯示“回復(fù)至”字段中的地址信息。
問題在于,如果攻擊者知道用戶所在金融機(jī)構(gòu)的電話號碼,或是用戶父母或上司的電話號碼,那么就能向用戶的iPhone手機(jī)發(fā)送一條來自于那個號碼的文本短信。從iPhone上看來,這條SMS文本短信看起來是來自于一個合法的來源,因此用戶對其作出回應(yīng)的可能性更高,或是更有可能遵循短信中有關(guān)共享敏感信息的請求,而在正常情況下用戶是不會這樣做的。
蘋果向美國科技博客癮科技發(fā)表聲明,對有關(guān)安全缺陷的問題作出了回應(yīng):“蘋果十分重視安全問題。當(dāng)使用iMessage而非SMS時,地址會被查證以保護(hù)用戶免受這種電子欺騙攻擊。SMS文本短信的局限性之一是允許帶有欺騙性地址的信息發(fā)送到任何手機(jī),因此我們強(qiáng)烈敦促用戶在通過SMS文本短信被導(dǎo)向未知網(wǎng)站或地址時要特別小心。”
蘋果所提供的這種“解決方案”的問題在于,iMessage僅在iOS設(shè)備之間可用。因此,除非用戶收發(fā)短信的所有聯(lián)系人也都使用iPhone、iPad或是Mac OS X進(jìn)行通信,否則iMessage就并非實際上可行的解決方案。
這名安全研究人員在他發(fā)表的博客文章中指出:“現(xiàn)在你已經(jīng)收到了警告。永遠(yuǎn)都不要在你的iPhone上看到一條SMS文本短信的第一眼時就選擇信任它。”
這看起來是一種合理的方法,但用戶還能用其他一些元素來判定短信是否合法。首先,如果用戶收到來自于iPhone聯(lián)系人列表以外的某人的文本短信,那么通常會顯示這條短信所來自的電話號碼,而并非“媽媽”等聯(lián)系人名稱。如上所述,如果一名攻擊者知道用戶母親的電話號碼,那么就能發(fā)送一條看起來像是來自于用戶母親的短信,其中含有電子欺騙信息;但是,即使這條信息宣稱是來自于用戶母親,但來自于這個號碼的欺騙信息也應(yīng)該會顯示為號碼本身。
其次,用戶還應(yīng)利用常識來作出鑒別。如果用戶會跟最好的朋友定期討論有關(guān)體育、政治以及周末去做些什么的話題,那么當(dāng)收到一條內(nèi)容僅包括“點擊這個鏈接”的短信時,就應(yīng)該心存懷疑。如果用戶的母親幾乎不知道SMS文本短信是什么,而且也從來都不會真正地受用SMS,那么當(dāng)用戶突然接到一條要錢的短信時就應(yīng)該提高警惕。
SMS文本短信是一種非常有用的工具,但當(dāng)然不是最安全的工具。與其他的移動平臺性比,蘋果對SMS文本短信的履行可能更加傾向于容易受到電子欺騙的攻擊;但無論如何,當(dāng)用戶要點擊SMS文本短信中的鏈接或是通過SMS在任何平臺上共享敏感信息時,都應(yīng)三思而后行。在智能手機(jī)繼續(xù)變成主流設(shè)備的環(huán)境下,攻擊者也將繼續(xù)設(shè)法找到智能手機(jī)的弱點,并利用這些弱點來對用戶發(fā)起攻擊。雖然iOS相對于其他智能手機(jī)操作系統(tǒng)來說比較安全,但也遠(yuǎn)非完美。在攻擊者越來越積極地以智能手機(jī)和平板電腦為攻擊目標(biāo)的情況之下,跨設(shè)備安全性的需求也只會繼續(xù)增強(qiáng)。
推薦閱讀
其實這四件事不會摧毀網(wǎng)際網(wǎng)絡(luò)
這是假設(shè)出現(xiàn)最糟糕的末日情節(jié),這些風(fēng)險是真實存在的,但它們不會真的毀掉整個網(wǎng)際網(wǎng)絡(luò),因為我們今天所擁有的工具已經(jīng)讓網(wǎng)際網(wǎng)絡(luò)知道可以如何去「繞過」它們。 Eagleman列出可能摧毀網(wǎng)際網(wǎng)絡(luò)的四件事是: 一、來自>>>詳細(xì)閱讀
本文標(biāo)題:iPhone用戶應(yīng)如何慎防SMS欺騙攻擊?
地址:http://www.zcgs360.cn/a/11/20120823/82305.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示