كشف Pod2g وهو هاكر وباحث في شؤون الحماية، عن ثغرة خطيرة للغاية في منظومة SMS في جهاز الايفون تؤدي الى تزوير الرسائل المرسلة عبر هذه المنظومة.
وتظهر المشكلة عند استخدام منظومة SMS في ارسال الرسائل النصية والثغرة قائمة في النسخة الاخيرة من نظام تشغيل اجهزة “ابل” بما فيها التعديل الرابع للنسخة التجريبية iOS 6، ويدعو الهاكر المذكور شركة “ابل” الى سد هذه الثغرة.
ما المقصود بهذا القول ؟
رسالة SMS هي عبارة عن بيانات بحجم صغير للغاية يتم نقلها بين جهازين خليويين، بحيث يقوم بعملية نقل هذه البيانات شركة الاتصال. عندما يكتب المستخدم رسالة SMS ويرسلها فإن جهازه يحولها قبل ارسالها الى ما يعرف بصيغة PDU وهي اختصار للعبارة الانجليزية: Protocol Description Unite ، ويرسلها جهاز المرسل الى شركة الاتصالات لكي ترسلها بدورها الى المتلقي.
عندما يتلقى المستخدم في الطرف الآخر الـ SMS ستظهر لدية اعلى صفحة الرسالة القصيرة خيارات متطورة لا تدعمها كل الاجهزة. من بين الخيارات التي يمكن العثور عليها هنا هي خيار استبدال رقم المرسل برقم آخر للرد عليه، وعندها سيصل الرد على رسالتك الى متلقى آخر ليس له علاقة بالامر. بعبارة اخرى، ترسل رسالة قصيرة لشخص ما ولكنك تستبدل الخيارات المذكورة، وحين يرغب الشخص الذي تلقى الرسالة منك ان يرد عليك، فإنك لن تتلقى رده وانما سيتجه رده الى الرقم الذي استبدلته بالاصلي ضمن الخيارات التي نتحدث عنها.
وبما ان متلقي رسالة SMS لا يمكنه رؤية سوى النص والرقم المرسل منه، ولهذا فإن الخطر من هذه الخيارات المتاحة يصبح اكبر لأنه من الممكن التلاعب بهذه الخاصية لاهداف تسيء للمستخدم.
ويضرب الهاكر Pod2g عدة امثلة على احتمال سوء استخدام هذه الثغرة فيقول في احدها: قد تصلك رسالة تبدو وكأنها قادمة من البنك تتحدث عن امورك المالية وقد ترد على هذه الرسالة بإفشاء اسرارك، لانك ترى رقم البنك على انه المرسل ولكنك ترسل ردك الى رقم متلقي آخر لا ترى رقمه.
ويؤكد الهاكر انه لا يعرف كم من الناس وقعوا ضحية سوء استخدام هذه الخاصية ولكنه على يقين بأن باحثين آخرين في مجال حماية المعلومات على علم بهذه الثغرة.
ابل ترد على الموضوع بسرعة
وفور نشر ما ورد اعلاه، عممت ابل بيانا حول الامر قالت فيه من ضمن ما قالت: انها تنظر بغاية الاهتمام الى كل ما يتعلق بالحماية. وأضافت: من المتبع في خدمة iMassege البديلة لخدمة SMS، ان يتم التحقق من العناوين المرسل اليها مسبقا لمنع تزوير هذه العناوين.
وقالت “ابل” في بيانها: من مساوئ خدمة SMS في الهواتف الذكية انه من الممكن تزوير عنوان المتلقي للرد. او من الممكن اظهار رقم المرسل بحيث يكون غير حقيقي، ولهذا ندعو كافة المستخدمين الى توخي الحذر في التعامل مع كل ما يتلقونه عبر رسائل SMS خاصة حين تكون رسالة كهذه تتضمن رابط لموقع انترنت او ما شابه.