Utiliser la fonction SMS d’un iPhone peut être dangereux. C’est ce qu’a révélé Pod2g, un chercheur en sécurité sur son blog, le 17 août dernier. Il met en évidence une faille de sécurité visant à tromper l’utilisateur lorsqu’il répond à un SMS.
Le chercheur explique que les SMS (et autres systèmes d’envoi de messages à base de texte, comme les alertes ou les messages vocaux) s’appuient sur PDU (Protocol Description Unit), un protocole complexe qui permet le transport des messages d’un téléphone mobile à un autre (ou plusieurs) par les opérateurs.
Parmi ses options, PDU propose de modifier le numéro d’envoi de la réponse. Dans ce cas, l’utilisateur ne répond pas à l’expéditeur, mais à un autre destinataire à son insu.
Une bonne implémentation de cette option doit permettre à l’utilisateur de voir le numéro de téléphone original de l’expéditeur et celui auquel il répond. Une fonctionnalité qu’Apple n’a visiblement pas pris la peine d’implémenter correctement, selon Pod2g. « Sur l’iPhone, lorsque vous recevez le message, il semble venir de celui qui l’envoie et vous perdez trace du numéro original », écrit-il.
Conséquence, cette faille peut-être utilisée pour soutirer des informations personnelles ou pour des tentatives de phishing (un message supposé venir de votre banque vous demandant de fournir des données ou se connecter à un site, etc.). Peut-être pire, faire croire que vous êtes en liaison avec telle ou telle personne/organisation et vous faire accuser à tort. Bref, la faille peut être exploitée dans tous les types de manipulations dont raffolent les pirates.
Point inquiétant : Pod2g ne doute pas que cette faille est connue de la plupart des chercheurs en sécurité et, donc, d’Apple mais aussi des pirates. Et qu’elle existe depuis l’implémentation du SMS dans l’iPhone.
Une faiblesse qui, au passage, ne concernerait pas les téléphones sous Android, BlackBerry, Windows Phone et Symbian pour l’heure. Apple profitera-t-il d’iOS 6 pour daigner combler cette vulnérabilité ? Cela semble mal parti. Elle figure toujours dans la version bêta 4 de l’OS mobile.
Crédit photo © drx – Fotolia.com
Voir aussi
Quiz Silicon.fr – Connaissez-vous les OS mobiles ?
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…