Oligur

• ニュース

8月に、iPhoneの深刻なSMSセキュリティ欠陥がテキストメッセージのなりすましを可能にしたことをお伝えしました。当時、Appleはユーザーに対し、従来のSMSではなくiMessageサービスを利用することでセキュリティを保護できると説明していましたが、クパティーノを拠点とするAppleはiOS 6でこの問題を修正したようです。

この問題はiOSハッカーのPod2g氏によって最初に発見され、悪意のある攻撃者が個人情報を盗むために悪用する可能性があると警告しました。これはiPhoneのテキストメッセージの処理方法に関係しています。Pod2g氏は次のように説明しています。

SMSテキストは基本的に、2台の携帯電話間で交換される数バイトのデータであり、通信事業者が情報を伝送します。ユーザーがメッセージを書き込むと、 携帯電話によってPDU（プロトコル記述単位）に変換され 、ベースバンドに渡されて配信されます。

[…] テキストペイロード内のUDH（ユーザーデータヘッダー）セクションはオプションですが、多くの高度な機能が定義されていますが、すべての携帯電話が対応しているわけではありません。これらのオプションの1つは、ユーザーがテキストの返信先アドレスを変更できるようにするものです。送信先の携帯電話が対応している場合、受信者がテキストに返信しようとすると、元の番号ではなく、指定された番号に応答します。

ほとんどの通信事業者はメッセージのこの部分をチェックしません。つまり、このセクションには 911 のような特別な番号でも、他の人の番号でも、何でも書き込むことができます。

攻撃者は、たとえば、銀行から特定の情報を要求するテキスト メッセージを送信したように見せかけて、実際には応答を銀行に直接送信するなどして、この脆弱性を悪用する可能性があります。

しかし、脱獄者のジョシュア・ヒル氏（別名p0sixninja）によると、Appleが水曜日に一般公開したiOS 6アップデートには「膨大な数のセキュリティ修正」が含まれており、その中の1つでSMSの脆弱性が修正されるという。

つまり、iMessage を持っていない友達に再びテキストメッセージを送信できるようになります。

出典：ジョシュア・ヒル

出典: The Verge