En fransk sikkerhetsforsker som bare er kjent under kallenavnet «pod2g» har oppdaget en svakhet i iOS-støtten for SMS-tekstmeldinger. Denne svakheten gjør det mulig for en avsender av en SMS å utgjøre seg for å være en annen.
Bakgrunnen er at en protokoll som SMS-tjenesten er basert på, gjør det mulig å inkludere en egen svaradresse (i praksis et telefonnummer) i meldingen. Dette nummeret kan være et annet enn avsendernummeret.
Ifølge pod2g vil god SMS-programvare vise mottakeren begge de to numrene. Men dette gjelder ikke iOS. I dette operativsystemet vises brukerne bare svarnummeret, men ikke avsendernummeret. Dette betyr at det er mulig å sende SMS-er iPhone-brukere hvor meldingene ser ut til å ha blitt sendt fra det nummeret avsenderen selv velger. Det faktiske avsendernummeret vises ikke av iOS.
pod2g mener at dette kan brukes til blant annet phishing, ved for eksempel å inkludere en URL som brukeren oppfordres til å klikke på, slik at den åpnes i mobilens nettleser. Dersom avsenderen ser ut til å være banken til brukeren, er muligheten stor for at brukeren faktisk gjør dette.
Svakheten åpner også for planting av falsk bevismateriale eller til å spre falsk informasjon.
Apple har kommentert svakheten og ber iOS-brukerne om å la være å bruke SMS-klienten.
– Apple tar sikkerhet veldig alvorlig. Når man bruker iMessage i stedet for SMS, verifiseres adressene, noe som beskytter mot denne typen forfalskningsangrep. Én av begrensningene til SMS er at det lar meldinger bli sendt med forfalsket adresse til enhver telefon, så vi ber brukerne innstendig om å være ekstremt forsiktige dersom de dirigeres til en ukjent webside eller -adresse over SMS, sier en talsperson for Apple til blant annet PCMag.com.
iMessage benytter SMS for å kommunisere med enheter som ikke har programvaren installert.
Apple sier tilsynelatende ingenting om hvorvidt selskapet har planer om å fjerne svakheten i SMS-programvaren, som også finnes i testutgavene av iOS 6.
