Pod2g descubre falla de seguridad en el manejo de los SMS en el iPhone

El famoso hacker e investigador de seguridad, Pod2g, ha descubierto una importante falla de seguridad en los SMS del iPhone que podría facilitar la suplantación de los mensajes de texto en el dispositivo. El problema está en la forma en que el iPhone maneja los mensajes de texto, y está presente en la última versión de iOS (incluyendo el iOS 6 beta 4).

A través de un post publicado en su blog, pod2g explico el fallo y por qué es un problema particular del iPhone:

Un mensaje SMS básicamente son unos cuantos bytes de datos que se intercambian entre dos teléfonos móviles, con la operadora transportando la información. Cuando el usuario escribe un mensaje, es convertido a PDU (Protocol Description Unit) por el móvil y se pasa al baseband para la entrega.

[…] En la carga útil del texto, la sección llamada UDH (User Data Header) es opcional, pero define funciones avanzadas con la que no todos los móviles son compatibles. Una de estas opciones permite al usuario cambiar la dirección de respuesta del texto. Si el móvil de destino es compatible, y si el receptor intenta responder al texto, no responderá al número original, sino al especificado.

La mayoría de las compañías no revisan esta parte del mensaje, lo que significa que uno puede escribir lo que quiera en esta sección: un número especial como 911 o el número de otra persona.

¿Por qué esto es un problema en el iPhone? Pues porque el iPhone, cuando recibe un mensaje de texto, sólo se ve el número al cual responder, no el original. Pod2g ofreció algunos ejemplos en los que esto podría ser un problema de seguridad grave.

Por ejemplo, se podría utilizar para enviar phishing haciéndose pasar por tu banco, pero al responder, en realidad estarías respondiendo a un destinatario diferente.

Tras ser consultados al respecto, Apple respondió con el siguiente mensaje:

Apple se toma la seguridad muy en serio. Al usar iMessage en lugar de SMS, las direcciones se verifican, lo que te protege contra este tipo de ataques de suplantación. Una de las limitaciones de SMS es que permite el envío de mensajes con direcciones falsas a cualquier teléfono, por lo que instamos a los clientes a ser extremadamente cuidadosos si son dirigidos a un sitio Web o una dirección desconocida a través de un SMS.

No está claro que tan fácil es para los hackers interceptar tus mensajes, pero pod2g considera que es un fallo de seguridad grave. También explicó que los investigadores de seguridad ya están al tanto del asunto, y "algunos piratas también."

Mientras tanto y en lo que Apple soluciona el problema, lo mejor es abstenerse de seguir enlaces que se enviados a través de SMS.

• CONOCE AL AUTOR

About Domadis Cabrera

Geek por naturaleza. Technorati por pasión. Emprendedor y amante del buen diseño. Disfruto probando cualquier cosa relacionada con la tecnología, da igual si es software o hardware. Viajero frecuente y amante de la adrenalina. Me divierte solucionar problemas y puedes seguirme en tu red social favorita, sólo tienes que buscarme por mi nombre.