Lenovo, Apple, Samsung e Windows scaldano il ferragosto

Nel corso della passata settimana un anonimo ricercatore di sicurezza, conosciuto con il nickname di "pod2g", ha portato a conoscenza del pubblico l'esistenza di un problema di sicurezza in iPhone che può causare lo spoofing di messaggi SMS. Secondo quanto afferma il ricercatore sul proprio blog, la gestione dei messaggi SMS all'interno di iOS prevede tra le varie possibilità quella di trasmettere opzionalmente funzionalità avanzate tramite l'User Data Header dell'SMS, compreso un indirizzo "reply to".

Non tutti i telefoni cellulari sono in grado di supportare questa caratteristica e la maggior parte degli operatori non effettua alcun controllo su questa parte del messaggio, il che significa che è possibile, almeno potenzialmente, inserire in questa sezione del messaggio qualsiasi indirizzo. Secondo pod2g questo inconveniente andrebbe a colpire in maniera più incisiva gli utenti di iPhone.

Dal momento che iPhone mostra solamente l'indirizzo "reply to" degli SMS in arrivo, non vi è modo per gli utenti di verificare l'effettiva identità del mittente o di determinare se il messaggio sia stato inviato effettivamente da qualcun altro rispetto al numero mostrato. Secondo pod2g la falla è classificabile come "grave", nonostante non comporti l'esecuzione di codice. Un utente malintenzionato potrebbe infatti inviare messaggi SMS camuffando il mittente, seguendo così il medesimo meccanismo che sta alla base dell'invio di email di spam, facendo quindi apparire il messaggio come inviato da un amico o da una fonte fidata.

Nel corso della giornata di sabato la Mela ha diramato la propria posizione ufficiale, che tuttavia risulta essere ben poco utile. Apple consiglia infatti di utilizzare iMessage al posto degli SMS, in quanto il servizio di messaggistica è esente dalla falla, oltre a comunicare in forma criptata. Così dichiara Apple: "Apple considera la sicurezza molto seriamente. Quando si utilizza iMessage invece di SMS, gli indirizzi vengono verificati, il che protegge l'utente da attacchi di spoofing. Una delle limitazioni degli SMS è la possibilità di inviare messaggi con indirizzi camuffati da qualunque telefono e per questo motivo raccomandiamo agli utenti di prestare molta attenzione se vengono indirizzati verso un sito web od un indirizzo sconosciuti tramite un SMS".

iMessage, lo ricordiamo, è un sistema di messaggistica proprietario di Apple che consente ai dispositivi iOS e al recente sistema operativo Mountain Lion di comunicare tra di loro. Tramite iMessage non è possibile, ad esempio, comunicare con altri cellulari non-iOS, il che rende la risposta di Apple abbastanza paradossale.