Início / Notícias / Antivírus e Segurança /

Vulnerabilidade existente há cinco anos afeta todos os iPhones

SMS pode ser enviado acidentalmente para um número malicioso.

Paulo Higa

Por

Notícia
Achados do TB Achados do TB

As melhores ofertas,
sem rabo preso 💰

Seu iPhone está com uma falha de segurança que pode ser considerada grave. Descoberta pelo hacker e pesquisador pod2g, a vulnerabilidade pode facilitar o roubo de informações pessoais através de mensagens de texto. Um SMS recebido pelo iPhone pode ter seu cabeçalho alterado, fazendo com que você responda a mensagem para um número malicioso.

A falha de segurança completou cinco anos de vida e, segundo o hacker, existe desde as primeiras implementações do SMS no iOS. Quem ainda tem o primeiro iPhone, anunciado em janeiro de 2007, está vulnerável. E quem está utilizando um iPhone com o último beta do iOS 6 também pode ser escolhido como alvo.

Não, você não vai ficar milionário respondendo a um SMS

Um SMS é formado por alguns bytes de informação que são trocados entre dois celulares por meio de uma operadora de telefonia móvel. A mensagem de texto digitada pelo usuário é transportada pelo PDU (Protocol Data Unit) e possui um cabeçalho opcional chamado de UDH (User Data Header). É nesse cabeçalho que está o grande problema.

O UDH contém informações como o número do remetente e o número de resposta do SMS. Como as operadoras não checam o número de resposta e o iOS não exibe essa informação, o número pode ser alterado livremente sem que o usuário perceba. Se alguém explorar bem essa falha, o iPhone exibirá uma mensagem “enviada” por alguém conhecido e a sua resposta será enviada para outra pessoa.

Essa falha permite que usuários maliciosos finjam ser funcionários do seu banco e capturem informações pessoais e, se alguém não gostar de você, pode enviar um SMS com cabeçalho modificado para usá-lo como evidência de um crime, entre outras maldades humanas.

Não confie em ninguém e nunca passe informações sensíveis por SMS (e lembre-se que um banco ou a Receita Federal nunca entrarão em contato pedindo dados pessoais). Os cuidados são válidos mesmo para quem não tem um iPhone, porque a falha pode estar presente em qualquer aparelho que suporte os recursos do UDH.

Com informações: The Verge.