SMSに差出人を偽装できる脆弱性、Apple「iMessageを使え」 27
ストーリー by hylom
要検証 部門より
要検証 部門より
あるAnonymous Coward 曰く、
iOSにはSMSの送信元を偽装できる脆弱性があるという(ITmedia)。
一方、Apple側はこれに対しSMSではなくiMessageを利用するよう注意を呼びかけている。Appleによるとこの脆弱性はiOS特有のものではなく、OSや端末によらず存在するという。
iMessage 使え (スコア:2)
なんて元記事にも書いてないですよ...
SMS の脆弱性から逃げるためには、認証された別のサービス(Apple 製品であれば iMessage など)を使えと言っているようにしか読めないです
みんつ
Re: (スコア:0)
リンクは二つあるけど、全部見た?
iMessageを使ってもダメじゃないだろうか (スコア:1)
たとえユーザーがiMessageを使っても、偽装された送信元からのSMSが送られて来るのを遮ることはできないのでは?
SMSは一切着信も送信も不可にして、メッセージサービスはiMessageだけ使えという事なんでしょうか。
回りにテキストをやり取りする相手がiPhoneユーザーしかいないならそれでもアリかもしれませんが、根本的なところが解決できてない気がしますね。
#そんで今度はFlashに続いてSMSはオワコンと言い始めるんでしょうか。
Re: (スコア:0)
脆弱性を放置してそのままandroidやwindowsを使い続けるなんてなんてひどいユーザーだ!
……とか。
Re: (スコア:0)
なにそれ既知の脆弱性があるのにサポート終了してるiPhone3Gのことdisってんの?
ちなみにiOS6に行けない初代iPadももうすぐお仲間入り。
いつものことだが (スコア:0)
Appleがしているように全てをこの技術のせいにするのは責任逃れのように感じられる。
Re:いつものことだが (スコア:2)
この記事の話ですかね。アップル、「iPhone」のSMS脆弱性問題で回答 - CNET Japan [cnet.com]
ざっくり見る限りでは、明らかにアップルの考慮不足に思えますが…。
Re: (スコア:0)
物事は正確に (スコア:0, 興味深い)
Appleによるとこの脆弱性はiOS特有のものではなく、OSや端末によらずApple製品になら存在するという。
じゃないの?
Re:物事は正確に (スコア:2, 参考になる)
送達される内容に
偽装可能なフィールドと偽装不可能なフィールドがあり
何も考えず前者を使うと危険、と言う話は
apple製品やiOSに閉じた話ではありません。
ただ、そんなこと曖昧に言い出したらキリがないので
そこを一種の逃げ道のように使うなら
appleは「具体的に同じ問題を抱えてる他社製品」を
明確に示す義務があるでしょうね。
でないと、
「とにかく他社製品も同じに決まってるからappleには責任はないの!SMS自体が悪いの!」
になってしまいますから。
Re: (スコア:0)
MLは秋にSMS統合するから、この脆弱性が出てしまうんですね。
Re: (スコア:0)
>「とにかく他社製品も同じに決まってるからappleには責任はないの!SMS自体が悪いの!」
現状、そういっている以外のなににみえるのさ
Re: (スコア:0)
なぬ!
iOS搭載製品以外に、SMSが送信できるApple製品が!?
Re:物事は正確に (スコア:1)
Skype とか外部サービスつかえば、Mac とか X Server からでも SMS 送れるよ。
どこの研究者とかソースの大本が不明 (スコア:0)
” AppleのiOSのセキュリティに詳しい著名な研究者 “ というのは誰で、その問題を記したブログを読んでみたいが、大本の情報が記されていないのは情報として価値が薄い。
Facebookの送信者偽装の問題はどうなっているのか
http://www.msng.info/archives/2012/08/fake-facebook-massage-sender.php [msng.info]
Re:どこの研究者とかソースの大本が不明 (スコア:1)
一応元のitmediaの記事にpod2gさんだという事は書いてあって、pod2gで検索すると件のブログが出ますね。
SMSの脆弱性にに言及した記事はコレ。
http://www.pod2g.org/2012/08/never-trust-sms-ios-text-spoofing.html [pod2g.org]
Re: (スコア:0)
検索しなくても、ITmediaの記事の関連リンクにありますがな。
以下、引用(リンクは未再現)
pod2gは「この脆弱性については既に他のセキュリティ研究者も知っているとの確信があり、犯罪集団にも知られていることを危惧する」と述べ、AppleがiOS 6の正式リリースまでに問題を解決してくれることを望むと記している。
関連キーワード
iOS | 脆弱性 | 研究者
関連記事
Appleが「iOS 5.1.1」をリリース、深刻な脆弱性に対処
Apple、iOS 5.1ではセキュリティの脆弱性も多数解決
AppleがiOSのアップデートを公開、脱獄ツールに利用の脆弱性に対処
関連リンク
pod2g's iOS blog
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
Re: (スコア:0)
あら本当だ…すみません。
Re:どこの研究者とかソースの大本が不明 (スコア:1)
Re: (スコア:0)
ざらっと読んだだけなので誤読しているかもしれませんが……
・SMSの宛先は基本的に電話番号。
・しかし、UDH(User Data Header)というオプションの拡張ヘッダに送信元番号を格納することができ、偽造可能。
・ほとんどのキャリアは、UDHをチェックしていない。
・iOSはUDHの送信元番号を表示し、しかも元の電話番号を確認する術がない。
という感じのようです。
Re: (スコア:0)
・iOSはUDHの送信元番号を表示し、しかも元の電話番号を確認する術がない。
とあります。
これって、iOSはE-MailのReply-To:相当を送信者(Form: or Sender:)として表示するって事では?
だとする
Re: (スコア:0)
>・ほとんどのキャリアは、UDHをチェックしていない。
そうでもなさそうな情報もあるので、現状どうなってるんでしょうね。
http://news.mynavi.jp/news/2012/08/20/038/ [mynavi.jp]
> 一方で、脆弱性が存在してもなりすまし攻撃が成功する可能性は低いと見る専門家もいる。
>通信キャリアの多くがSMSメッセージを通じた攻撃への対策をすでに講じており、
>PCWorldの取材に対してLookout Mobile SecurityのDerek Halliday氏は
>「米国とカナダの携帯電話で、このように偽装したメッセージがユ
え、 (スコア:0)
この話題の突込みどころは林檎儲以外つかってないiMessageを使えと言っているところじゃないの?
相手から送られてくるのに。
Re:え、 (スコア:1)
SMSで送られてきたメッセージを信用するな、
iOSユーザーはiMessageで送信しろ、ってことでしょ?
Re: (スコア:0)
だから、相手から送られてくるSMSに対する対処はないでしょ?つまり、解決策としては下策だってこと。
#いや、林檎信者以外はすべて邪教徒なので信じるな!と言う宗教であるなら然りな解決策ですけど。
Re:え、 (スコア:2)
iMessageを使えの段階で、iOS搭載機同士でしかやり取りできないのだから、他のメーカーの端末は使うな、そんな相手と付き合うな、という主張でしょ。Appleらしいね。
勝手に送られてくるSMSは自動で捨てるor無視することも可能だろうし。(iOS搭載機が手元にないので判らないけど)
Re: (スコア:0)
iMessageを使えの段階で、iOS搭載機同士でしかやり取りできないのだから、他のメーカーの端末は使うな、そんな相手と付き合うな、という主張でしょ。Appleらしいね。
勝手に送られてくるSMSは自動で捨てるor無視することも可能だろうし。(iOS搭載機が手元にないので判らないけど)
自動で無視は無理ですね。
相手から届いたメッセージの色(緑がiMessage外、青がiMessage経由)で区別できますけど。