Apple: Hrošč pomanjkljivost protokola, raje uporabljajte naš iMessage

Matej Huš

20. avg 2012 ob 19:50:20

Apple se je odzval na nedavno odkritje, da imajo njihovi telefoni hrošča, ki omogoča pošiljanje lažnih SMS-ov s poljubnih naslovov. Bloger z vzdevkom pod2g, ki je znan tudi po več jailbreakih za iphone, je namreč odkril, da Applov iOS kot naslov (oziroma telefonsko število) pošiljatelja prikaže naslov, ki je nastavljen kot privzeti naslov za odgovor (reply-to address) in ne pošiljateljevega. V principu je tako prejemnika mogoče pretentati, da mu je sporočilo poslal nekdo drug.

Applov odgovor na te očitke pa je zelo zanimiv. Zapisali so, da jemljejo varnost zelo resno, a gre v tem primeru za pomanjkljivost protokola, saj je mogoče nastaviti poljuben naslov (spoofing). To je napol res. Res je, da protokol za prenos kratkih sporočil ni varen, saj že na internetu obstoji kopica strani, kjer je mogoče poslati sporočila in nastaviti poljuben naslov pošiljatelja. A po drugi strani ostaja dejstvo, da ima iOS hrošča, saj ne bi smel prikazovati naslova za odgovor namesto pošiljateljevega - če pustimo ob strani, da je načeloma oba mogoče enostavno potvoriti. Pokazati bi moral oba.

Apple zato priporoča, da uporabniki posežejo po storitvi iMessage. Gre za Applovo lastniško storitev, ki je dostopna le na napravah iPhone, iPad in Mac. Omogoča pošiljanje sporočil, ki pa se prenašajo prek interneta in se pred pošiljanjem ustrezno šifrirajo. Tako je nemogoče (oziroma bistveno teže) ponarediti izvorni naslov. Hkrati ima iMessage še nekatere druge koristne funkcije, kot je sinhronizacija po vseh napravah, tako da lahko pomenek začnete na telefonu in nadaljujete na macu. Žal ima mnogo uporabnikov androide, blackberryje in druge naprave, tako da si z njimi prek iMessage ne boste mogli dopisovati. Glede SMS-ov pa velja ostati priseben in jim ne preveč zaupati, če bi lahko sporočilo imelo pomembne posledice (e-bančništvo).