20 agosto 2012 – Durante lo scorso settimana ha tenuto banco la notizia relativa a un problema di sicurezza creato dalla gestione degli SMS sugli iPhone. I messaggi di testo non sono certo un’esclusiva di Apple o del suo smartphone. A quanto pare, però, c’è qualcosa di unico nel modo in cui Apple gestisce gli SMS che rende l’iPhone particolarmente vulnerabile agli attacchi di “spoofing” o di “smishing” (phishing tramite SMS). Un ricercatore statunitense specializzato nella sicurezza di iOS ha svelato sul suo blog come tutto questo può accadere.

Quando viene inviato un messaggio di testo, le informazioni contenute nella sua intestazione comprendono il numero telefonico del mittente. Inoltre, vi è anche un’informazione opzionale definita UDH (User Data Header), che permette di segnalare un indirizzo di risposta diverso da quello del mittente. Alcune piattaforme mobili permettono di visualizzarli entrambi, il che consente di sollevare qualche dubbio nel destinatario se i due numeri sono diversi. Il sistema operativo di Apple, invece, visualizza esclusivamente l’indirizzo specificato nel campo “Rispondi a”, a cui invia l’eventuale risposta.

Perché questo costituisce un problema? Se un utente malintenzionato conoscesse il numero di telefono della vostra banca (o di vostra madre, o del vostro capo…) lui (o lei) potrebbe inviarvi un messaggio di testo che sembra provenire da quel numero. Su un iPhone, questo SMS sembrerebbe quindi arrivare da una fonte legittima, e sarebbe molto più probabile inviare una risposta contenente magari informazioni riservate che normalmente non sarebbero state condivise.

Apple ha risposto al sito statunitense Engadget in questo modo: “Apple è molto attenta al tema della sicurezza. Utilizzando iMessage invece degli SMS, gli indirizzi vengono verificati, proteggendo l’utente da questi attacchi di ‘spoofing’. Uno dei limiti degli SMS è che è possibile inviare messaggi con falsi indirizzi a qualsiasi telefono cellulare. Per questo invitiamo i nostri clienti a fare molta attenzione quando ricevono SMS che rinviano a un sito web o a un mittente sconosciuto”. Il problema è che iMessage funziona solo tra dispositivi iOS. Comunicando con persone che utilizzano dispositivi con un altro sistema operativo, quindi, questa non può essere definita una “soluzione”.

Se non fidarsi ciecamente degli SMS ricevuti è un’ovvia precauzione da seguire, ci sono però alcuni altri elementi che permettono di determinare se un messaggio è legittimo o meno. Prima di tutto, se si riceve un messaggio da qualcuno che non è presente nei contatti dell’iPhone, viene mostrato il numero di telefono di origine invece del nome di una persona conosciuta. In secondo luogo, anche in questo caso il buon senso dovrebbe sempre essere presente. Se voi e il vostro migliore amico vi scambiate regolarmente messaggi che parlano di sport, di politica o dei piani per il prossimo fine settimana e ricevete un testo che dice solo “fai clic su questo link”, si dovrebbe essere sospettosi. Se vostra madre sa a malapena che cosa sia un SMS e ricevete da lei un messaggio con cui vi chiede dei soldi, è evidente che probabilmente c’è qualcosa che non va.

Gli SMS sono un grande strumento, ma non certamente il più sicuro. L’implementazione di Apple può portare più facilmente a episodi di “spoofing” rispetto ad altre piattaforme mobili, ma bisognerebbe pensarci sempre due volte prima di fare clic su un collegamento o prima di condividere informazioni sensibili via SMS su qualsiasi piattaforma. Più gli smartphone si diffondono, più gli aggressori cercano i punti deboli per sfruttarli. E nonostante iOS si sia finora dimostrato relativamente sicuro rispetto ad altri sistemi operativi per smartphone, non è affatto perfetto.

David Jeffers