Apple은 문자 메시지 스푸핑에 대한 경고에 따라 iPhone 소유자에게 SMS 대신 자체 iMessage를 사용하도록 권고했습니다. 이는 자체 시스템이 어떻게 보호되는지에 대한 의문을 제기합니다.
자신을 "pod2g"라고 부르는 보안 연구원은 iOS 기기에 스푸핑된 문자 메시지를 보내는 것이 쉽다고 보고했습니다. 시스템은 SMS의 출처를 명확하게 표시하지 않습니다. 즉, 문자가 은행이나 친구에게서 온 것처럼 보일 수도 있고 실제로는 누군가에게서 온 것일 수도 있습니다. 또 다른.
Apple은 약점을 인정했지만 iMessage를 사용하면 문제를 피할 수 있다고 말했습니다. 이에 대해 애플은 “애플은 보안을 매우 중요하게 생각한다”고 밝혔다. "SMS 대신 iMessage를 사용하면 이러한 종류의 스푸핑 공격으로부터 보호하기 위해 주소가 확인됩니다."
SMS의 한계 중 하나는 스푸핑된 주소가 포함된 메시지를 모든 전화로 보낼 수 있다는 것입니다. 따라서 고객이 알 수 없는 웹사이트나 주소로 연결되는 경우 각별히 주의하시기 바랍니다. SMS
“SMS의 한계 중 하나는 스푸핑된 주소가 포함된 메시지를 어떤 전화로든 보낼 수 있다는 것입니다. SMS를 통해 알 수 없는 웹사이트나 주소로 연결되는 경우 고객에게 각별히 주의할 것을 촉구합니다.”라고 덧붙였습니다.
Real World 칼럼니스트 Davey Winder에 따르면, Apple은 단지 변명만 하는 것이 아닙니다. "문제의 진실은 이것이 애플이나 아이폰, iOS의 문제가 전혀 아니라는 것입니다. 그것은 SMS 문제입니다."라고 그는 말했습니다. 다니웹. "전체 SMS 문자 메시지 시스템에는 내장된 방식에 따른 유용한 진위 확인 기능이 거의 없으며 '보안' 메시징 시스템으로 개발된 적이 없습니다."
“Google에서 웹상의 SMS 스푸핑 사이트를 검색하면 SMS 스푸핑 사이트가 많이 있다는 것을 알 수 있습니다. 서비스는 무료든 유료든, 받는 사람의 휴대폰은 조금도 중요하지 않다”고 지적했다. 밖으로. "휴대폰 자체에서 대체 회신 주소에 대한 UDH(사용자 데이터 헤더) 표시기가 변경되도록 허용하는 한 모든 베팅은 취소됩니다."
그러나 원 연구원이 지적했듯이 iOS는 사용자 데이터 헤더 데이터 편집을 허용하므로 Apple에 수정이 필요합니다. "이 기능을 제대로 구현하면 수신자는 원래 전화번호와 답장을 볼 수 있습니다." pod2g가 언급됨. "iPhone에서 메시지를 보면 답장 번호에서 온 것처럼 보이며 출처를 추적할 수 없습니다."
애플 솔루션
Apple이 제안한 솔루션에는 한 가지 주목할만한 결함이 있습니다. iMessage 시스템을 사용하려면 모든 친구와 가족도 iOS 사용자여야 합니다.
그러나 보안 측면에서 문자 메시지가 개선된 것이라고 연구원들은 말했습니다. Pod2G는 Twitter를 통해 “iMessage는 확실히 SMS보다 훨씬 더 안전합니다.”라고 말했습니다. "나는 그것에 대해 의심의 여지가 없습니다."
또 다른 전문가인 존스 홉킨스 대학의 매튜 그린(Matthew Green) 교수는 iMessage가 보안용으로 보인다는 데 동의했습니다. 개선되었지만 Apple은 iMessage에 대해 "보안 암호화"를 약속하지만 프로토콜이 실제로 어떻게 작동하는지에 대해서는 공개되지 않았습니다. 공장.
"우리는 그것이 얼마나 안전한지, 그리고 사람들이 그것을 사용함으로써 어떤 위험을 감수하는지 알아야 합니다." Green은 블로그 게시물에서 이렇게 말했습니다.. “가장 좋은 해결책은 Apple이 몇 가지 주요 세부 사항을 보류해야 하는 경우에도 프로토콜에 대한 세부 사양을 간단히 공개하는 것입니다. 하지만 그것이 가능하지 않다면 아마도 커뮤니티에서 우리가 이를 알아내기 위해 더 많은 노력을 기울여야 할 것입니다.”
