iPhone用戶應(yīng)如何慎防SMS欺騙攻擊? |
發(fā)布時(shí)間: 2012/8/24 14:18:30 |
北京時(shí)間8月22日消息,SMS文本短信當(dāng)然并非蘋(píng)果或其標(biāo)志性的iPhone智能手機(jī)所獨(dú)有的,但顯然蘋(píng)果交付SMS短信的方法具有某種獨(dú)特性,才會(huì)讓iPhone用戶特別容易受到電子欺騙或SMS短信詐騙的攻擊。
一名iOS安全研究人員發(fā)表了一篇博客文章,詳細(xì)描述了他的發(fā)現(xiàn)。當(dāng)一條SMS文本短信發(fā)送時(shí),信頭信息的部分內(nèi)容包括這條信息所來(lái)自的實(shí)際號(hào)碼,但同時(shí)還有一個(gè)名為UDH的可選信頭,為不同的“回復(fù)至”地址開(kāi)放入口。有些移動(dòng)平臺(tái)會(huì)同時(shí)顯示信息所來(lái)自的實(shí)際號(hào)碼以及來(lái)自于“回復(fù)至”字段的信息,希望在兩者有所不同的情況下為收件人發(fā)出某種警告信號(hào)。與此相比,蘋(píng)果iOS操作系統(tǒng)則僅顯示“回復(fù)至”字段中的地址信息。 問(wèn)題在于,如果攻擊者知道用戶所在金融機(jī)構(gòu)的電話號(hào)碼,或是用戶父母或上司的電話號(hào)碼,那么就能向用戶的iPhone手機(jī)發(fā)送一條來(lái)自于那個(gè)號(hào)碼的文本短信。從iPhone上看來(lái),這條SMS文本短信看起來(lái)是來(lái)自于一個(gè)合法的來(lái)源,因此用戶對(duì)其作出回應(yīng)的可能性更高,或是更有可能遵循短信中有關(guān)共享敏感信息的請(qǐng)求,而在正常情況下用戶是不會(huì)這樣做的。 蘋(píng)果向美國(guó)科技博客癮科技發(fā)表聲明,對(duì)有關(guān)安全缺陷的問(wèn)題作出了回應(yīng):“蘋(píng)果十分重視安全問(wèn)題。當(dāng)使用iMessage而非SMS時(shí),地址會(huì)被查證以保護(hù)用戶免受這種電子欺騙攻擊。SMS文本短信的局限性之一是允許帶有欺騙性地址的信息發(fā)送到任何手機(jī),因此我們強(qiáng)烈敦促用戶在通過(guò)SMS文本短信被導(dǎo)向未知網(wǎng)站或地址時(shí)要特別小心。” 蘋(píng)果所提供的這種“解決方案”的問(wèn)題在于,iMessage僅在iOS設(shè)備之間可用。因此,除非用戶收發(fā)短信的所有聯(lián)系人也都使用iPhone、iPad或是Mac OS X進(jìn)行通信,否則iMessage就并非實(shí)際上可行的解決方案。 這名安全研究人員在他發(fā)表的博客文章中指出:“現(xiàn)在你已經(jīng)收到了警告。永遠(yuǎn)都不要在你的iPhone上看到一條SMS文本短信的第一眼時(shí)就選擇信任它。” 這看起來(lái)是一種合理的方法,但用戶還能用其他一些元素來(lái)判定短信是否合法。首先,如果用戶收到來(lái)自于iPhone聯(lián)系人列表以外的某人的文本短信,那么通常會(huì)顯示這條短信所來(lái)自的電話號(hào)碼,而并非“媽媽”等聯(lián)系人名稱。如上所述,如果一名攻擊者知道用戶母親的電話號(hào)碼,那么就能發(fā)送一條看起來(lái)像是來(lái)自于用戶母親的短信,其中含有電子欺騙信息;但是,即使這條信息宣稱是來(lái)自于用戶母親,但來(lái)自于這個(gè)號(hào)碼的欺騙信息也應(yīng)該會(huì)顯示為號(hào)碼本身。 其次,用戶還應(yīng)利用常識(shí)來(lái)作出鑒別。如果用戶會(huì)跟最好的朋友定期討論有關(guān)體育、政治以及周末去做些什么的話題,那么當(dāng)收到一條內(nèi)容僅包括“點(diǎn)擊這個(gè)鏈接”的短信時(shí),就應(yīng)該心存懷疑。如果用戶的母親幾乎不知道SMS文本短信是什么,而且也從來(lái)都不會(huì)真正地受用SMS,那么當(dāng)用戶突然接到一條要錢(qián)的短信時(shí)就應(yīng)該提高警惕。 SMS文本短信是一種非常有用的工具,但當(dāng)然不是最安全的工具。與其他的移動(dòng)平臺(tái)性比,蘋(píng)果對(duì)SMS文本短信的履行可能更加傾向于容易受到電子欺騙的攻擊;但無(wú)論如何,當(dāng)用戶要點(diǎn)擊SMS文本短信中的鏈接或是通過(guò)SMS在任何平臺(tái)上共享敏感信息時(shí),都應(yīng)三思而后行。在智能手機(jī)繼續(xù)變成主流設(shè)備的環(huán)境下,攻擊者也將繼續(xù)設(shè)法找到智能手機(jī)的弱點(diǎn),并利用這些弱點(diǎn)來(lái)對(duì)用戶發(fā)起攻擊。雖然iOS相對(duì)于其他智能手機(jī)操作系統(tǒng)來(lái)說(shuō)比較安全,但也遠(yuǎn)非完美。在攻擊者越來(lái)越積極地以智能手機(jī)和平板電腦為攻擊目標(biāo)的情況之下,跨設(shè)備安全性的需求也只會(huì)繼續(xù)增強(qiáng)。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |