Een SMS-exploit maakt het mogelijk om het reactie-adres bij een SMS te veranderen. Hierdoor stuur je een reactie op een sms naar een telefoonnummer dat je zelf niet kunt zien.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Artikelcorrectie, spelfout of -aanvulling doorgeven?
Reacties: 15 reacties
Roel
Het was met online sms-diensten zoals Mollie al lang mogelijk om zelf een afzender op te geven. Dit is dus misschien wel een lek, maar als je wilt kun je alsnog zo een bericht sturen vanaf bijvoorbeeld ‘Apple’, of ‘Microsoft’.
Het bewijs.
Kinderspel. Werkt overigens niet alleen op iPhones.
Gaetanvdb01
@Roel: Dat is nu eens alles behalve een bewijs. In dit geval kan je gewoon de naam van het contact in je eigen iPhone wijzigen en dan ziet het er iedentiek hetzelfde uit. Helemaal geen bewijs dus.
Pippijn
@Roel: je begrijpt het punt dat pod2g wil maken verkeerd denk ik. Natuurlijk is sms spoofing al langer beschikbaar. Maar hier gaat het om het feit dat als de gebruiker reageert het wel weer terug gestuurd wordt naar jou nummer! M.a.w. je kan een willekeurig nummer met een willekeurige naam combineren. Dit is een zeer groot phishing gevaar!
Aaargh!
Dit is gewoon inherent aan SMS en is al mogelijk zolang SMS bestaat.
Roel
Origineel geplaatst door Pippijn @roel je begrijpt het punt dat pod2g wil maken verkeerd denk ik. Natuurlijk is sms spoofing al langer beschikbaar. Maar hier gaat het om het feit dat als de gebruiker reageert het wel weer terug gestuurd wordt naar jou nummer! M.a.w. je kan een willekeurig nummer met een willekeurige naam combineren. Dit is een zeer groot phishing gevaar!
Zo had ik het nog niet bekeken, dat klopt inderdaad.
iPieter
@Roel: en? In de contactenlijst van een vriend sta ik als Mr International, en dus wordt ik ook zo weergeven. Zelf heb ik weliswaar nergens dit ingetypt, maar client side is het zeker al lang mogelijk. Dus je screenshot bewijst niets.
OT: Wel raar dat ze dat reply-to dinges tonen. Maar goed, ik had ook niet verwacht dat sms het veiligste communicatiemiddel was. Net als email, daar is het ook zeer gemakkelijk om je als iemand anders voor te doen…
Bubbly
@Gaetanvdb01: Enkel als je goed kijkt, is die afzender niet toegevoegd aan de contactlijst 😉
Roel
Origineel geplaatst door Gaetanvdb01 @Roel: Dat is nu eens alles behalve een bewijs. In dit geval kan je gewoon de naam van het contact in je eigen iPhone wijzigen en dan ziet het er iedentiek hetzelfde uit. Helemaal geen bewijs dus.
Zoals @Bubbly al zei, kijk naar de knop rechtsboven. Jouw reactie is dus alles behalve nuttig. Tevens die van jou iPieter. Beide beter kijken voor je gaat schreeuwen.
Dit is wel een probleem voor pod2g. Meld hij het niet, dan blijft een gevaarlijke kwetsbaarheid bestaan. Meld hij het wel, dan bestaat een kans dat Apple tussentijds een iOS 5.1.2 uitbrengt, zoals in het artikel staat. En reken maar dat in zo’n nieuwe versie, of in iOS 6, alle gaten die pod2g zelf gebruikt heeft voor de untethered jailbreak, gedicht zijn!
Maar uiteindelijk heeft hij gelukkig toch voor de veiligheid van velen gekozen. Hoewel het een normale SMS functionaliteit is, zoals hierboven afdoende is aangetoond, kan Apple er wel voor kiezen om een waarschuwingsberichtje op het scherm te tonen wanneer de afzender vervalst is.
Geen bewijs? Er staat afzender ‘Apple’ en de knop daaronder toont aan dat het geen contact is, dus een nickname kan het niet zijn.
Rawish
Snap niet waarom dit nu ineens een groot probleem moet zijn. Maak al 7 jaar lang met veel lol af en toe gebruik van sms, email of telefoonspoofing (zo moeilijk is het dus echt niet want kon het vanaf mn 15e). Paar jaar geleden waren er zelfs een aantal apps in cydia beschikbaar die t allemaal voor je deden.
mano
Via de site stilletjes.nl kan je ook zelf invullen wie de afzender van de SMS is. Geen spannend nieuws dus.
Marcel Kraan
@Rawish: en al die apps zoals “voicechanger” die werken nog steeds.
Het was met online sms-diensten zoals Mollie al lang mogelijk om zelf een afzender op te geven. Dit is dus misschien wel een lek, maar als je wilt kun je alsnog zo een bericht sturen vanaf bijvoorbeeld ‘Apple’, of ‘Microsoft’.
Het bewijs.
Kinderspel. Werkt overigens niet alleen op iPhones.
@Roel: Dat is nu eens alles behalve een bewijs. In dit geval kan je gewoon de naam van het contact in je eigen iPhone wijzigen en dan ziet het er iedentiek hetzelfde uit. Helemaal geen bewijs dus.
@Roel: je begrijpt het punt dat pod2g wil maken verkeerd denk ik. Natuurlijk is sms spoofing al langer beschikbaar. Maar hier gaat het om het feit dat als de gebruiker reageert het wel weer terug gestuurd wordt naar jou nummer! M.a.w. je kan een willekeurig nummer met een willekeurige naam combineren. Dit is een zeer groot phishing gevaar!
Dit is gewoon inherent aan SMS en is al mogelijk zolang SMS bestaat.
Zo had ik het nog niet bekeken, dat klopt inderdaad.
@Roel: en? In de contactenlijst van een vriend sta ik als Mr International, en dus wordt ik ook zo weergeven. Zelf heb ik weliswaar nergens dit ingetypt, maar client side is het zeker al lang mogelijk. Dus je screenshot bewijst niets.
OT: Wel raar dat ze dat reply-to dinges tonen. Maar goed, ik had ook niet verwacht dat sms het veiligste communicatiemiddel was. Net als email, daar is het ook zeer gemakkelijk om je als iemand anders voor te doen…
@Gaetanvdb01: Enkel als je goed kijkt, is die afzender niet toegevoegd aan de contactlijst 😉
Zoals @Bubbly al zei, kijk naar de knop rechtsboven. Jouw reactie is dus alles behalve nuttig. Tevens die van jou iPieter. Beide beter kijken voor je gaat schreeuwen.
Dit is wel een probleem voor pod2g. Meld hij het niet, dan blijft een gevaarlijke kwetsbaarheid bestaan. Meld hij het wel, dan bestaat een kans dat Apple tussentijds een iOS 5.1.2 uitbrengt, zoals in het artikel staat. En reken maar dat in zo’n nieuwe versie, of in iOS 6, alle gaten die pod2g zelf gebruikt heeft voor de untethered jailbreak, gedicht zijn!
Maar uiteindelijk heeft hij gelukkig toch voor de veiligheid van velen gekozen. Hoewel het een normale SMS functionaliteit is, zoals hierboven afdoende is aangetoond, kan Apple er wel voor kiezen om een waarschuwingsberichtje op het scherm te tonen wanneer de afzender vervalst is.
@Roel: Raar, ik zie niets bij je bewijs staan.
Geen bewijs? Er staat afzender ‘Apple’ en de knop daaronder toont aan dat het geen contact is, dus een nickname kan het niet zijn.
Snap niet waarom dit nu ineens een groot probleem moet zijn. Maak al 7 jaar lang met veel lol af en toe gebruik van sms, email of telefoonspoofing (zo moeilijk is het dus echt niet want kon het vanaf mn 15e). Paar jaar geleden waren er zelfs een aantal apps in cydia beschikbaar die t allemaal voor je deden.
Via de site stilletjes.nl kan je ook zelf invullen wie de afzender van de SMS is. Geen spannend nieuws dus.
@Rawish: en al die apps zoals “voicechanger” die werken nog steeds.