L'autore di questo post del blog non si fida mai degli SMS : lo spoofing di testo su iOS dice che: il mittente di un messaggio SMS può fornire informazioni arbitrarie sui mittenti utilizzando funzionalità di protocollo di basso livello. Inoltre il mittente può impostare un'intestazione, per indicare che le risposte devono essere inviate a un terzo numero.
Commenti di Apple:
Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they're directed to an unknown Web site or address over SMS.
La mia comprensione è che Apple sta dicendo che questo non è un difetto di progettazione da parte loro, ma uno da parte dell'SMS e il modo in cui è progettato il payload.
Questa reazione pone una serie di domande:
- È vero che il telefono ricevente non può verificare se le informazioni del mittente sono corrette?
- La risposta all'intestazione è un problema che gli utenti dovrebbero essere avvisati quando l'utente prova a rispondere a un messaggio SMS?
- In che modo altri fornitori gestiscono questa situazione?
- Entrambi i problemi (informazioni sui mittenti arbitrari e reply-to-header) si applicano anche alle semplici e vecchie email. Come si comportano i client di posta elettronica?