iPhone用户应如何慎防SMS欺骗攻击

    北京时间8月22日消息，SMS文本短信当然并非苹果或其标志性的iPhone智能手机所独有的，但显然苹果交付SMS短信的方法具有某种独特性，才会让iPhone用户特别容易受到电子欺骗或SMS短信诈骗的攻击。

    一名iOS安全研究人员发表了一篇博客文章，详细描述了他的发现。当一条SMS文本短信发送时，信头信息的部分内容包括这条信息所来自的实际号码，但同时还有一个名为UDH（用户数据信头）的可选信头，为不同的“回复至”（Reply To）地址开放入口。有些移动平台会同时显示信息所来自的实际号码以及来自于“回复至”字段的信息，希望在两者有所不同的情况下为收件人发出某种警告信号。与此相比，苹果iOS操作系统则仅显示“回复至”字段中的地址信息。

    问题在于，如果攻击者知道用户所在金融机构的电话号码，或是用户父母或上司的电话号码，那么就能向用户的iPhone手机发送一条来自于那个号码的文本短信。从iPhone上看来，这条SMS文本短信看起来是来自于一个合法的来源，因此用户对其作出回应的可能性更高，或是更有可能遵循短信中有关共享敏感信息的请求，而在正常情况下用户是不会这样做的。

    苹果向美国科技博客瘾科技（Engadget）发表声明，对有关安全缺陷的问题作出了回应：“苹果十分重视安全问题。当使用iMessage而非SMS时，地址会被查证以保护用户免受这种电子欺骗攻击。SMS文本短信的局限性之一是允许带有欺骗性地址的信息发送到任何手机，因此我们强烈敦促用户在通过SMS文本短信被导向未知网站或地址时要特别小心。”

    苹果所提供的这种“解决方案”的问题在于，iMessage仅在iOS设备之间可用。因此，除非用户收发短信的所有联系人也都使用iPhone、iPad或是Mac OS X进行通信，否则iMessage就并非实际上可行的解决方案。


    这看起来是一种合理的方法，但用户还能用其他一些元素来判定短信是否合法。首先，如果用户收到来自于iPhone联系人列表以外的某人的文本短信，那么通常会显示这条短信所来自的电话号码，而并非“妈妈”等联系人名称。如上所述，如果一名攻击者知道用户母亲的电话号码，那么就能发送一条看起来像是来自于用户母亲的短信，其中含有电子欺骗信息；但是，即使这条信息宣称是来自于用户母亲，但来自于这个号码的欺骗信息也应该会显示为号码本身（而非用户母亲的号码）。

    其次，用户还应利用常识来作出鉴别。如果用户会跟最好的朋友定期讨论有关体育、政治以及周末去做些什么的话题，那么当收到一条内容仅包括“点击这个链接”的短信时，就应该心存怀疑。如果用户的母亲几乎不知道SMS文本短信是什么，而且也从来都不会真正地受用SMS，那么当用户突然接到一条要钱的短信时就应该提高警惕。

    SMS文本短信是一种非常有用的工具，但当然不是最安全的工具。与其他的移动平台性比，苹果对SMS文本短信的履行可能更加倾向于容易受到电子欺骗的攻击；但无论如何，当用户要点击SMS文本短信中的链接或是通过SMS在任何平台上共享敏感信息时，都应三思而后行。在智能手机继续变成主流设备的环境下，攻击者也将继续设法找到智能手机的弱点，并利用这些弱点来对用户发起攻击。虽然iOS相对于其他智能手机操作系统来说比较安全，但也远非完美。在攻击者越来越积极地以智能手机和平板电脑为攻击目标的情况之下，跨设备安全性的需求也只会继续增强。