パスワードを忘れた? アカウント作成
6101413 story
セキュリティ

SMSに差出人を偽装できる脆弱性、Apple「iMessageを使え」 27

ストーリー by hylom
要検証 部門より
あるAnonymous Coward 曰く、

iOSにはSMSの送信元を偽装できる脆弱性があるという(ITmedia)。

一方、Apple側はこれに対しSMSではなくiMessageを利用するよう注意を呼びかけている。Appleによるとこの脆弱性はiOS特有のものではなく、OSや端末によらず存在するという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • なんて元記事にも書いてないですよ...

    SMS の脆弱性から逃げるためには、認証された別のサービス(Apple 製品であれば iMessage など)を使えと言っているようにしか読めないです

    --
    みんつ
    • by Anonymous Coward

      リンクは二つあるけど、全部見た?

  • たとえユーザーがiMessageを使っても、偽装された送信元からのSMSが送られて来るのを遮ることはできないのでは?
    SMSは一切着信も送信も不可にして、メッセージサービスはiMessageだけ使えという事なんでしょうか。
    回りにテキストをやり取りする相手がiPhoneユーザーしかいないならそれでもアリかもしれませんが、根本的なところが解決できてない気がしますね。

    #そんで今度はFlashに続いてSMSはオワコンと言い始めるんでしょうか。

    • by Anonymous Coward

      脆弱性を放置してそのままandroidやwindowsを使い続けるなんてなんてひどいユーザーだ!
      ……とか。

      • by Anonymous Coward

        なにそれ既知の脆弱性があるのにサポート終了してるiPhone3Gのことdisってんの?

        ちなみにiOS6に行けない初代iPadももうすぐお仲間入り。

  • by Anonymous Coward on 2012年08月22日 6時39分 (#2216060)

    Appleがしているように全てをこの技術のせいにするのは責任逃れのように感じられる。

  • by Anonymous Coward on 2012年08月22日 7時32分 (#2216076)

    Appleによるとこの脆弱性はiOS特有のものではなく、OSや端末によらずApple製品になら存在するという。

    じゃないの?

    • Re:物事は正確に (スコア:2, 参考になる)

      by Anonymous Coward on 2012年08月22日 9時03分 (#2216122)

      送達される内容に
      偽装可能なフィールドと偽装不可能なフィールドがあり
      何も考えず前者を使うと危険、と言う話は
      apple製品やiOSに閉じた話ではありません。

      ただ、そんなこと曖昧に言い出したらキリがないので
      そこを一種の逃げ道のように使うなら
      appleは「具体的に同じ問題を抱えてる他社製品」を
      明確に示す義務があるでしょうね。

      でないと、
      「とにかく他社製品も同じに決まってるからappleには責任はないの!SMS自体が悪いの!」
      になってしまいますから。

      親コメント
      • by Anonymous Coward

        MLは秋にSMS統合するから、この脆弱性が出てしまうんですね。

      • by Anonymous Coward

        >「とにかく他社製品も同じに決まってるからappleには責任はないの!SMS自体が悪いの!」

        現状、そういっている以外のなににみえるのさ

    • by Anonymous Coward

      なぬ!
      iOS搭載製品以外に、SMSが送信できるApple製品が!?

  • by Anonymous Coward on 2012年08月22日 7時34分 (#2216077)

    ” AppleのiOSのセキュリティに詳しい著名な研究者 “ というのは誰で、その問題を記したブログを読んでみたいが、大本の情報が記されていないのは情報として価値が薄い。
    Facebookの送信者偽装の問題はどうなっているのか
    http://www.msng.info/archives/2012/08/fake-facebook-massage-sender.php [msng.info]

    • by Anonymous Coward on 2012年08月22日 8時21分 (#2216095)

      一応元のitmediaの記事にpod2gさんだという事は書いてあって、pod2gで検索すると件のブログが出ますね。
      SMSの脆弱性にに言及した記事はコレ。
      http://www.pod2g.org/2012/08/never-trust-sms-ios-text-spoofing.html [pod2g.org]

      親コメント
      • by Anonymous Coward

        検索しなくても、ITmediaの記事の関連リンクにありますがな。

        以下、引用(リンクは未再現)

         pod2gは「この脆弱性については既に他のセキュリティ研究者も知っているとの確信があり、犯罪集団にも知られていることを危惧する」と述べ、AppleがiOS 6の正式リリースまでに問題を解決してくれることを望むと記している。

        関連キーワード

        iOS | 脆弱性 | 研究者

        関連記事
          Appleが「iOS 5.1.1」をリリース、深刻な脆弱性に対処
          Apple、iOS 5.1ではセキュリティの脆弱性も多数解決
          AppleがiOSのアップデートを公開、脱獄ツールに利用の脆弱性に対処

        関連リンク
          pod2g's iOS blog

        Copyright© 2012 ITmedia, Inc. All Rights Reserved.

        • by Anonymous Coward

          あら本当だ…すみません。

    • Facebookのそれと似たような問題なのかな? メールをより大きなシステムの一部として組み込んでみたら、メールが元々持ってた伝統的な脆弱性も取り込んじゃった、みたいな。
      親コメント
      • by Anonymous Coward

        ざらっと読んだだけなので誤読しているかもしれませんが……

        ・SMSの宛先は基本的に電話番号。
        ・しかし、UDH(User Data Header)というオプションの拡張ヘッダに送信元番号を格納することができ、偽造可能。
        ・ほとんどのキャリアは、UDHをチェックしていない。
        ・iOSはUDHの送信元番号を表示し、しかも元の電話番号を確認する術がない。

        という感じのようです。

        • by Anonymous Coward

          ・iOSはUDHの送信元番号を表示し、しかも元の電話番号を確認する術がない。

          One of these options enables the user to change the reply address of the text. If the destination mobile is compatible with it, and if the receiver tries to answer to the text, he will not respond to the original number, but to the specified one.(強調は引用者による)

          とあります。
          これって、iOSはE-MailのReply-To:相当を送信者(Form: or Sender:)として表示するって事では?
          だとする

        • by Anonymous Coward

          >・ほとんどのキャリアは、UDHをチェックしていない。

          そうでもなさそうな情報もあるので、現状どうなってるんでしょうね。

          http://news.mynavi.jp/news/2012/08/20/038/ [mynavi.jp]

          > 一方で、脆弱性が存在してもなりすまし攻撃が成功する可能性は低いと見る専門家もいる。
          >通信キャリアの多くがSMSメッセージを通じた攻撃への対策をすでに講じており、
          >PCWorldの取材に対してLookout Mobile SecurityのDerek Halliday氏は
          >「米国とカナダの携帯電話で、このように偽装したメッセージがユ

  • by Anonymous Coward on 2012年08月22日 10時02分 (#2216157)

    この話題の突込みどころは林檎儲以外つかってないiMessageを使えと言っているところじゃないの?
    相手から送られてくるのに。

    • by tagosaku0726 (35119) on 2012年08月22日 10時10分 (#2216163)

      SMSで送られてきたメッセージを信用するな、
      iOSユーザーはiMessageで送信しろ、ってことでしょ?

      親コメント
      • by Anonymous Coward

        だから、相手から送られてくるSMSに対する対処はないでしょ?つまり、解決策としては下策だってこと。

        #いや、林檎信者以外はすべて邪教徒なので信じるな!と言う宗教であるなら然りな解決策ですけど。

        • by nmaeda (5111) on 2012年08月22日 12時02分 (#2216256)

          iMessageを使えの段階で、iOS搭載機同士でしかやり取りできないのだから、他のメーカーの端末は使うな、そんな相手と付き合うな、という主張でしょ。Appleらしいね。

          勝手に送られてくるSMSは自動で捨てるor無視することも可能だろうし。(iOS搭載機が手元にないので判らないけど)

          親コメント
          • by Anonymous Coward

            iMessageを使えの段階で、iOS搭載機同士でしかやり取りできないのだから、他のメーカーの端末は使うな、そんな相手と付き合うな、という主張でしょ。Appleらしいね。

            勝手に送られてくるSMSは自動で捨てるor無視することも可能だろうし。(iOS搭載機が手元にないので判らないけど)

            自動で無視は無理ですね。
            相手から届いたメッセージの色(緑がiMessage外、青がiMessage経由)で区別できますけど。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...