Apple デバイスのジェイルブレイクで知られるハッカーは、iOS 6 の最新ベータ版でも iPhone はテキストメッセージのなりすましに対して脆弱であると主張している。
pod2gによると、この問題により、詐欺師は金融機関を装ってフィッシングサイトに誘導したり、偽のメッセージを偽の証拠として他人の携帯電話に送り込んだりすることが可能になる可能性があるという。また、受信者が信頼できる送信元から送信されたメッセージだと思い込むといった、他の種類の操作も可能になる。
pod2gの説明にあるように、すべてのテキストメッセージはプロトコル記述ユニット(PDU)と呼ばれるフォーマットに変換されます。このフォーマットは、SMSが宛先に届くために必要な様々な情報を記述したものです。これらの情報の一つにUDH(ユーザーデータヘッダー)インジケーターがあり、ユーザーはこれを使用してメッセージの返信アドレスを変更できます。
iPhoneの問題は、送信者がこのように返信先の電話番号を指定すると、受信者はテキストメッセージ内の元の電話番号を見ることができないことです。つまり、テキストメッセージが偽装されているかどうかを知る方法がないのです。
「この機能の適切な実装では、受信者は元の電話番号と返信先の電話番号の両方を見ることができます」とpod2g氏は書いています。「iPhoneでは、メッセージを見ると返信先の電話番号から送信されたように見えてしまい、送信元が分からなくなってしまいます。」
他の端末もなりすましの被害に遭う
公平を期すために言うと、SMSスプーフィングの脆弱性があるのはiPhoneだけではありません。SMSスプーフィングをサービスとして提供するウェブサイトは数多くあり、Appleの端末に限定されていません。主な問題は、iPhoneを含む一部の携帯電話が、返信先アドレスの代替を可能にするUDHインジケーターに対応していること、そして特にiPhoneでは元のアドレスが表示されないことです。市場に出回っている他の携帯電話のうち、返信先の番号のみが表示され、元のアドレスが表示されないものがどれだけあるかは不明です。
もう一つ注目すべき点は、この脆弱性は、メッセージが信頼できる送信元から送信されたと思わせることしかできないということです。このメッセージへの返信は、なりすましの対象となる連絡先に届くため、テキストメッセージのみで悪意のある送信元に機密情報を渡す危険はありません。
pod2g氏はブログ記事で、iPhone 4用のツールを近日中に公開し、この脆弱性を実証する予定だと述べています。それまでの間、そしていつものように、ログイン情報や銀行口座情報、その他の機密情報を求めるテキストメッセージ内のWebリンクをクリックするのは避けてください。
さらに多くのテクノロジーニュースや解説を入手するには、 Twitter 、 Facebook 、またはGoogle+でJaredをフォローしてください。
