No, el problema no es de Apple, es de los SMS

19/08/2012 por Carlos Burges

Hace un par de días el sitio Pod2g, un sitio especializado en seguridad para iOS, abrió su edición con un titular que pretendía desenmascarar un problema de seguridad en el envío de SMS en iOS, denominado SMS spoofing. Sin embargo el problema no es específico de Apple pese a lo que diga Pod2G, sino que es un problema del protocolo inherente al SMS.

Según Pod2G, el "problema de seguridad" existía desde la implementación del SMS en el iPhone "y persistía en la beta 4 de iOS 6". El SMS Spoofing, al igual que otros ataques de este tipo, hace pretender que el SMS pertenece a un número de teléfono desde el que no ha sido mandado. Esta técnica es muy similar a cómo se falsean las cabeceras de los correos electrónicos que hacen creer a un usuario que está recibiendo un correo legítimo de un proveedor de confianza cuando realmente el correo es falso.

El falseo de SMS, sin embargo, no es un problema de iOS o de Apple, sino del protocolo en sí: un usuario malicioso puede enviar SMS bajo PDU (Protocol Description Unit) en formato crudo con la cabecera (UDH o User Data Header) falseada en la que se especifica una dirección de respuesta predeterminada y diferente de la que se ha enviado el SMS.

Mientras que el SMS Spoofing es legal en algunos casos cuando se realizan envíos desde plataformas a clientes para que estos puedan responder directamente a la empresa, en otras ocasiones se utiliza para tratar de engañar a los usuarios en un intento de falsear el mensaje para obtener datos relevantes. Un ejemplo perfecto sería el envío de un SMS por parte de un Banco (los Bancos no se ponen nunca en contacto con los usuarios par solicitarles datos relevantes ni por SMS ni por correo electrónico).

Apple, por su parte, ha respondido a las acusaciones de Pod2g para indicar de nuevo que el problema del SMS Spoofing es del protocolo y no de Apple, añadiendo que entre usuarios de Apple se recomienda el uso de Mensajes en vez de SMS, ya que la aplicación de Apple si verifica las direcciones desde las que se envían los mensajes impidiendo este tipo de engaños.

0
Comentarios
  • #1 por rafa espada el 20/08/2012
    En definitiva… un tío listo que ha quedado como un tonto.