¿Deben los sistemas de SMS advertir a los usuarios de posibles ataques de suplantación de identidad?

8

El autor de esta publicación del blog Nunca confíe en SMS : La suplantación de texto de iOS dice que: El remitente de un mensaje SMS puede proporcionar información de remitente arbitraria utilizando funciones de protocolo de bajo nivel. Además, el remitente puede establecer un encabezado, para indicar, que las respuestas deben enviarse a un tercer número.

Comentarios de Apple:

  

Apple toma la seguridad muy en serio. Cuando se utiliza iMessage en lugar de   SMS, se verifican las direcciones que protege contra este tipo de   ataques de suplantación de identidad. Una de las limitaciones de SMS es que permite   los mensajes que se enviarán con direcciones falsificadas a cualquier teléfono, por lo que instamos a   Los clientes deben ser extremadamente cuidadosos si son dirigidos a un desconocido.   Sitio web o dirección a través de SMS.

Entiendo que Apple está diciendo que esto no es un defecto de diseño de su parte, sino uno de parte del SMS, y la forma en que está diseñada la carga útil.

Esta reacción plantea una serie de preguntas:

  • ¿Es cierto que el teléfono receptor no puede verificar si la información del remitente es correcta?
  • ¿Es la respuesta al encabezado un problema sobre el que se debe advertir a los usuarios cuando el usuario intenta responder a un mensaje SMS?
  • ¿Cómo manejan esta situación otros proveedores?
  • Ambos problemas (información del remitente arbitrario y responder al encabezado) también se aplican al correo electrónico antiguo. ¿Cómo lo tratan los clientes de correo electrónico?
pregunta blunders 19.08.2012 - 01:29
fuente

4 respuestas

7

Apple no creó el estándar de SMS que les proporcionó la industria. La industria indicó que una transacción de SMS puede incluir un campo de respuesta. Apple ha diseñado su software para usar lo que la industria les dijo que existía (y con qué equipo de la industria es compatible cuando lo transmite intacto). Mientras Apple no use incorrectamente el estándar provisto, no pueden ser culpables. Si se incluye un campo de respuesta y es diferente del campo desde, ¿cuál es exactamente el propósito del campo de respuesta si no es para evitar que envíe el SMS al originador "desde"? ¿Qué es lo que todos esperan que sea exactamente el comportamiento?

Un ejemplo: Apple construye computadoras. My Mac Book Pro (con OS X 10.8) puede ser engañado por una dirección MAC falsificada. ¿Es culpa de las manzanas? Mi MBP puede ser engañado por una dirección IP falsificada. También la culpa de las manzanas? No, en ambos casos, la pila de IP se diseñó mucho antes de que Apple tuviera algo que ver con las computadoras en red. El control de MAC que se falsifica no es algo que pueda detectarse fácilmente (a menos que sepa con certeza qué dirección MAC debería esperar ver). Apple está utilizando los estándares proporcionados.

EDITAR: si los clientes quieren una plataforma segura, usan iMessage. Si la compatibilidad es la preocupación, usan SMS. SMS no lo es, y nunca ha sido diseñado para ser una plataforma segura.

Soy de la opinión de que @blunder no puede comparar SSL (un sistema seguro conocido) con SMS (un sistema inseguro conocido). Telnet es un medio de comunicación no seguro y sería una comparación más cercana. ¿Cuántas computadoras muestran una notificación que dice: "¿Está seguro de que desea utilizar telnet, envía contraseñas en texto sin cifrar?" ¿Apple es responsable porque OS X no tiene una ventana emergente que notifica a alguien que intenta usar telnet que no es seguro?

Mi turno para hacer una pregunta. ¿Por qué nos empeñamos en encontrar excusas para hacer que Apple solucione esto, en lugar de solucionar la causa del problema (el estándar de SMS)? ¿Por qué es lógico arreglar el síntoma cuando puede curarlo por la causa (los portadores)?

    
respondido por el Everett 19.08.2012 - 06:53
fuente
4

La publicación del blog con la que te vinculas parece implicar que este es un defecto de diseño que podría razonablemente llamarse culpa de Apple.

La publicación del blog dice que cada SMS viene con el equivalente de un campo "de" (el número de teléfono de la persona que lo envió) y, opcionalmente, el equivalente de un campo de "respuesta a" (el número de teléfono que las respuestas irán a). Aparentemente, el remitente puede establecer el campo "responder a" pero no el campo "desde". Si el iPhone recibe un SMS que contiene un campo de "respuesta a", ignora el campo "de" y trata el campo de "respuesta a" como el remitente del mensaje. Esto facilita la suplantación del remitente aparente del mensaje SMS.

No tengo conocimiento de primera mano, pero si la publicación del blog es correcta, entonces esto suena como un defecto de diseño en el iPhone que Apple podría solucionar, simplemente utilizando el campo "De" como remitente y no permitir que el campo "responder a" anule el campo "desde".

    
respondido por el D.W. 19.08.2012 - 02:52
fuente
2

TÉCNICAMENTE, no es un problema de Apple, por cierto.

¿Cuál es el "problema de Apple"? Es algo que de alguna manera impide que Apple persiga sus objetivos finales, que pueden resumirse como "ganar mucho dinero". Hay dos clases principales de "problemas" para una gran empresa como Apple:

  • Problemas con la imagen, que pueden disuadir a los clientes potenciales de comprar los productos.

  • Los problemas legales, que pueden resultar en enmiendas sustanciales y, lo que es más importante, pueden convertirse en problemas de imagen si se vuelven demasiado visibles. Algunos problemas legales, como las patentes, no dañan la imagen porque a los clientes no les importa la propiedad intelectual; miran el demanda de Apple contra Samsung como un tipo de entretenimiento. Pero cualquier problema legal que se pueda emitir de tal manera que algunos clientes hayan sido estafados (y los problemas de seguridad entran en esa categoría) puede causar algún daño a la imagen de Apple.

La supuesta postura de Apple ("el problema está en el estándar") se puede interpretar como un "truco" de los abogados de Apple. Su defensa está lista. Sus escudos están arriba. Entonces, no hay problema para Apple de esa manera. De manera similar, los golpes a la imagen se pueden desviar utilizando la táctica tradicional de designar un chivo expiatorio , en este caso el estándar de SMS . En cuanto a las imágenes, Apple se parece a White Knight: do ofrecen una forma "mejor" ( iMessage ) y puede parecer fácilmente irreprensible en el asunto.

Lo que todo esto significa es que Apple es lo suficientemente grande como para definir la realidad. El mundo de los dispositivos tecnológicos es lo suficientemente maleable y mágico como para que un gran jugador pueda decirle a las cosas lo que son, en lugar de decirles qué son las cosas. De hecho, la sustancial tesorería de Apple tiene ha sido construido por Apple haciendo eso durante más de una década. Los mensajes SMS de / reply-to no son el problema de Apple porque Apple lo dice . No veo ninguna razón por la que dejen de hacerlo y no veo ninguna razón por la que esta estrategia les falle.

(Observe que estoy hablando desde el punto de vista técnico; no estoy hablando en absoluto sobre ética).

    
respondido por el Tom Leek 19.08.2012 - 17:22
fuente
2

Vale la pena señalar que es posible solucionar el problema sin romper el estándar. Este es un ejemplo de lo que podría parecer una alerta que no rompe el estándar de SMS, pero advierte al usuario mediante un mensaje de alerta de seguridad:

respondido por el blunders 19.08.2012 - 13:42
fuente

Lea otras preguntas en las etiquetas