Il semble que la faille SMS qui habite l’iPhone soit commune à bien des téléphones mobiles.
Telle est la vision d’Apple, qui n’a pas tardé à réagir aux avertissements qu’avait émis en ce sens le développeur français Pod2g.
Impliqué sur la scène du jailbreak, le hacker a récemment révélé au grand jour cette vulnérabilité par laquelle un tiers malveillant peut se faire passer pour une personne ou un organisme de confiance.
L’artifice tient à une modification dans l’User Data Header (UDH), ce conteneur d’en-tête qui regroupe notamment des informations d’identification des correspondants.
Il s’agit pour l’assaillant d’orchestrer l’affichage, en regard d’un texto entrant, d’un numéro autre que celui du terminal émetteur. Si la victime potentielle répond, son message sortant est adressé au numéro d’origine et non à celui faussement spécifié dans le champ expéditeur.
Naît une confiance illusoire par laquelle l’utilisateur est plus susceptible de s’exécuter sans arrière-pensée, communiquant à son insu des données parfois hautement confidentielles.
Pod2g a déterminé que dans l’état actuel, aucune version d’iOS ne permet d’afficher les deux numéros en question lorsqu’ils sont différenciés. Une porte grande ouverte aux escroqueries.
En outre, l’intéressé, qui estimait que le subterfuge englobait nombre de téléphones portables, voit ses propos corroborés par Apple.
La firme de Cupertino estime en effet que ce défaut n’est pas spécifique à l’iPhone. Il conviendrait a contrario d’incriminer le protocole universel PDU (Protocol Description Unit), en vigueur pour l’envoi et la réception de textos.
A cet égard, la plupart des mobinautes seraient concernés, ce de longue date. Cette version des faits corrobore les allusions de Pod2g, qui prétendait dans son billet de blog que l’ensemble était quasi agnostique du logiciel et du matériel.
A cet égard, Apple émet des recommandations similaires et incite à une transition globale vers l’application iMessage, considérée plus sûre et tout particulièrement immune face à de telles pratiques qui relèvent, dans le jargon, du « spoofing ».
« Avec iMessage, les adresses sont systématiquement vérifiées pour prévenir tout acte de hameçonnage (phishing) par usurpation d’identité« , a ainsi résumé un porte-parole à Engadget.
Un nouveau signe avant-coureur de l’arrêt de mort des SMS ?
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…