Il semble que la faille SMS qui habite l’iPhone soit commune à bien des téléphones mobiles.
Telle est la vision d’Apple, qui n’a pas tardé à réagir aux avertissements qu’avait émis en ce sens le développeur français Pod2g.
Impliqué sur la scène du jailbreak, le hacker a récemment révélé au grand jour cette vulnérabilité par laquelle un tiers malveillant peut se faire passer pour une personne ou un organisme de confiance.
L’artifice tient à une modification dans l’User Data Header (UDH), ce conteneur d’en-tête qui regroupe notamment des informations d’identification des correspondants.
Il s’agit pour l’assaillant d’orchestrer l’affichage, en regard d’un texto entrant, d’un numéro autre que celui du terminal émetteur. Si la victime potentielle répond, son message sortant est adressé au numéro d’origine et non à celui faussement spécifié dans le champ expéditeur.
Naît une confiance illusoire par laquelle l’utilisateur est plus susceptible de s’exécuter sans arrière-pensée, communiquant à son insu des données parfois hautement confidentielles.
Pod2g a déterminé que dans l’état actuel, aucune version d’iOS ne permet d’afficher les deux numéros en question lorsqu’ils sont différenciés. Une porte grande ouverte aux escroqueries.
En outre, l’intéressé, qui estimait que le subterfuge englobait nombre de téléphones portables, voit ses propos corroborés par Apple.
La firme de Cupertino estime en effet que ce défaut n’est pas spécifique à l’iPhone. Il conviendrait a contrario d’incriminer le protocole universel PDU (Protocol Description Unit), en vigueur pour l’envoi et la réception de textos.
A cet égard, la plupart des mobinautes seraient concernés, ce de longue date. Cette version des faits corrobore les allusions de Pod2g, qui prétendait dans son billet de blog que l’ensemble était quasi agnostique du logiciel et du matériel.
A cet égard, Apple émet des recommandations similaires et incite à une transition globale vers l’application iMessage, considérée plus sûre et tout particulièrement immune face à de telles pratiques qui relèvent, dans le jargon, du « spoofing ».
« Avec iMessage, les adresses sont systématiquement vérifiées pour prévenir tout acte de hameçonnage (phishing) par usurpation d’identité« , a ainsi résumé un porte-parole à Engadget.
Un nouveau signe avant-coureur de l’arrêt de mort des SMS ?
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…