জেলব্রেক হ্যাকার এবং নিরাপত্তা গবেষক pod2g আজ একটি নতুন-আবিষ্কৃত নিরাপত্তা সমস্যা প্রকাশ করেছে iOS এর সমস্ত সংস্করণে যা দূষিত পক্ষগুলিকে এসএমএস বার্তাগুলিকে ফাঁকি দেওয়ার অনুমতি দিতে পারে, একজন প্রাপককে মনে করে যে একটি বিশ্বস্ত প্রেরকের কাছ থেকে একটি বার্তা এসেছে যখন এটি প্রকৃতপক্ষে দূষিত পক্ষ থেকে এসেছে।
সমস্যাটি iOS-এর ব্যবহারকারী ডেটা শিরোনাম (UDH) তথ্য পরিচালনার সাথে সম্পর্কিত, একটি পাঠ্য পেলোডের একটি ঐচ্ছিক বিভাগ যা ব্যবহারকারীদের নির্দিষ্ট তথ্য নির্দিষ্ট করতে দেয় যেমন পাঠানো নম্বর ছাড়া অন্য কিছুতে একটি বার্তায় উত্তর-এর নম্বর পরিবর্তন করা। আইফোনের এই ঐচ্ছিক তথ্যের পরিচালনা প্রাপকদের লক্ষ্যযুক্ত এসএমএস স্পুফিং আক্রমণের জন্য উন্মুক্ত রাখতে পারে।
টেক্সট পেলোডে, UDH (User Data Header) নামক একটি বিভাগ ঐচ্ছিক কিন্তু অনেক উন্নত বৈশিষ্ট্য সংজ্ঞায়িত করে যা সব মোবাইলের সাথে সামঞ্জস্যপূর্ণ নয়। এই বিকল্পগুলির মধ্যে একটি ব্যবহারকারীকে পাঠ্যের উত্তর ঠিকানা পরিবর্তন করতে সক্ষম করে। যদি গন্তব্য মোবাইল এটির সাথে সামঞ্জস্যপূর্ণ হয়, এবং যদি প্রাপক পাঠ্যটির উত্তর দেওয়ার চেষ্টা করে, তবে সে আসল নম্বরে সাড়া দেবে না, তবে নির্দিষ্ট নম্বরটিতে উত্তর দেবে।
আমার আইফোন খুঁজতে কিভাবে এয়ারপড সংযোগ করবেনবেশিরভাগ বাহক বার্তাটির এই অংশটি পরীক্ষা করে না, যার অর্থ কেউ এই বিভাগে যা চান তা লিখতে পারেন: একটি বিশেষ নম্বর যেমন 911, বা অন্য কারো নম্বর।
এই বৈশিষ্ট্যটির একটি ভাল বাস্তবায়নে, প্রাপক আসল ফোন নম্বর এবং একটির উত্তর দেখতে পাবে। আইফোনে, আপনি যখন বার্তাটি দেখেন, তখন মনে হয় উত্তর নম্বর থেকে এসেছে, এবং আপনি [হারিয়েছেন] মূলের ট্র্যাক৷
pod2g বিভিন্ন উপায়ে হাইলাইট করে যা দূষিত পক্ষগুলি এই ত্রুটির সুবিধা নিতে পারে, যার মধ্যে ফিশিং প্রচেষ্টা সহ ব্যবহারকারীদের ব্যক্তিগত তথ্য সংগ্রহকারী সাইটগুলির সাথে লিঙ্ক করা বা মিথ্যা প্রমাণ তৈরি করার উদ্দেশ্যে বা বার্তাগুলি স্পুফ করার উদ্দেশ্যে আরও জঘন্য পদক্ষেপ সক্ষম করার জন্য প্রাপকের বিশ্বাস অর্জন করা।
অনেক ক্ষেত্রে দূষিত পক্ষকে তাদের প্রচেষ্টা কার্যকর করার জন্য প্রাপকের বিশ্বস্ত যোগাযোগের নাম এবং নম্বর জানতে হবে, কিন্তু ফিশিং উদাহরণ দেখায় যে কীভাবে দূষিত পক্ষগুলি জাল জাল করে ব্যবহারকারীদের ফাঁদে ফেলার আশায় বিস্তৃত জাল ফেলতে পারে। একটি সাধারণ ব্যাংক বা অন্য প্রতিষ্ঠান। কিন্তু সমস্যাটির ফলে প্রাপকদের রিপ্লাই-টু অ্যাড্রেস দেখানো হয়েছে, মেসেজের উত্তর দেওয়ার মাধ্যমেই আক্রমণ খুঁজে পাওয়া যাবে বা ব্যর্থ করা যাবে, কারণ ফেরত বার্তাটি দূষিত ব্যক্তির পরিবর্তে পরিচিত পরিচিতির কাছে যাবে।
জনপ্রিয় পোস্ট