Resposta da Apple para a vulnerabilidade do SMS: “Usem o iMessage, é mais seguro”
Escrito por iLex, às 16:59 - 18 de agosto de 2012
97 comentários »
Depois da revelação de uma importante vulnerabilidade de segurança em mensagens SMS (que atinge celulares em geral e também o iPhone), a Apple se pronunciou oficialmente a respeito:
A Apple leva a segurança muito a sério. Ao usar o iMessage no lugar do SMS, os endereços são verificados, sendo uma proteção contra esse tipo de ataque (spoofing). Uma das limitações do SMS é que ele permite que as mensagens sejam enviadas com endereços falsos para qualquer telefone, assim pedimos aos clientes para serem extremamente cuidadosos se forem direcionados através de um SMS para um site ou endereço desconhecido.
Lindo. Mas nem todo mundo tem dispositivos iOS para usar o iMessage. E mesmo assim, criminosos continuam podendo nos enviar mensagens SMS alteradas para os nossos iPhones, pois o aplicativo (Mensagens) é o mesmo.
Não é bem o tipo de resposta que queremos da Apple. O que gostaríamos de ouvir é que ela irá resolver esta vulnerabilidade o mais rápido possível.
via Engadget
É…
Acho que é um falha mais das operadoras do que da Apple…
Falha das operadoras? Soh pode estar brincando….
Sim, a falha é das operadoras. Se o hacker faz o spoof, se passando por um determinado número para enviar o sms, quem tem que checar é a operadora que irá enviar o SMS e não quem recebe.
Errado! Os campos são duas coisas completamente diferente, colocar essa restrição invalida a utilidade do campo, logo ele não precisaria existir!
Os campos são remetente e resposta e servem exatamente para isso: foi mandado por Fulano mas é para responder para Ciclano. Isso é um recurso do SMS.
O SMS funciona assim!
Não é a Apple ou as Operadoras que definem. Isso e não é um erro! É um recurso que pode ser usado para o bem ou para o mal.
não amigo, as operadoras estão erradas, não é só o iPhone que possui essa vulnerabilidade, praticamente todos os dispositivos móveis recebem esse tipo de mensagem, e é papel da operadora impedir que essas mensagens circulem, já que elas assumem a identidade da operadora…
Errado! As operadoras não tem nada a ver com isso. Qualquer dispositivo que envia SMS tem isso. O SMS funciona assim. Se as operadoras criarem este bloqueio eles estariam interferindo na forma que o SMs é. Presta atenção os campos sao origem e resposta. Sao coisas completamente diferentes, se você não pudesse solicitar a resposta para outro número não tinha o porque o campo existir.
“Pod2g descobriu que neste conjunto de códigos, há um cabeçalho de dados que nunca é verificado pela maior parte das operadoras, onde consta o número de quem enviou a mensagem e um número de resposta; este último pode ser alterado pelo remetente, com ferramentas especiais, sem que a operadora confira se ele é real.”
Fonte:
http://blogdoiphone.com/2012/08/descoberta-falha-de-seguranca-em-mensagens-sms-inclusive-no-iphone/
cada uma…
“Pod2g descobriu que neste conjunto de códigos, há um cabeçalho de dados que nunca é verificado pela maior parte das OPERADORAS, onde consta o número de quem enviou a mensagem e um número de resposta; este último pode ser alterado pelo remetente, com ferramentas especiais, sem que a operadora confira se ele é real.”
Fonte:
http://blogdoiphone.com/2012/08/descoberta-falha-de-seguranca-em-mensagens-sms-inclusive-no-iphone/
Na verdade a culpa também não é das operadoras e nem da Apple. Se existe os dois campos e pq algum protocolo diz que tem que ser assim, se não fosse não teria razão de existir e não é a Apple que pode mudar isso. Os campos trazem duas informações bem distintas, origem e resposta, é como e-mail, você pode enviar por uma caixa, mas solicitar a resposta para outro( é isso mesmo! E-mails também tem essa mesma função! Porque será? Quiseram deixar uma falha nos e-mails também?).
Este recurso era muito utilizado nos tempos de BIP, onde o remetente era uma central e a resposta para a remetente. Podemos fazer analogia com uma arma, ela existe e pode ser usada para o bem ou para o mal.
Já estou com muitas saudades do steve jobs e seu profissionalismo,duvido que ele publicasse uma resposta dessas.
Lamentável!
Tá brincando, né? E a história de segurar o iPhone errado do AntennaGate? Clássica saída pela esquerda…
Otima essa lembranca. Sao todos iguais.
Bem lembrado! Essa historia de segurar errado chega a ser muito pior do que essa do iMessage.
Concordo 100%. Não achava que isso iria acontecer, muito menos tão rápido, afinal a apple não era apenas uma pessoa, e todos devem ter aprendido muito com o Jobs. Mas as mudanças para pior formam nítidas, rápidas e numerosas. Que pena. Ainda espero que seja só impressão ou exagero meu.
acho que só foi uma desculpa para não lança nenhuma atualização até o iOS 6
Galera, estive pensando e acho que como eu, vocês não entenderam.
A falha não está no iPhone, está no sistema de SMS em geral, ela afeta vários dispositivos, não somento o iPhone.
Praticamente um “Quer segurança, compre um iPhone!”.
Kkkkk
Td Certo!
Keep calm and call Steve
Essa vulnerabilidade não é problema da Apple/iPhone ou qualquer outro fabricante de aparelhos móveis. Esse problema é de inteira responsabilidade das operadoras.
Outros problemas como esse já foram reportados antes e nenhum foi corrigido, os dados de voz/2G/3G de TODAS as operadoras brasileiras e de muitas operadoras do mundo continuam sendo transmitidos sem encriptação alguma, podendo sererem interceptados por qualquer pessoa que queira.
Na verdade a culpa também não é das operadoras. É assim que o SMS funciona! Se os dois campos e pq algum protocolo diz que tem que ser assim, se não fosse não teria razão de existir e não é a Apple que pode mudar isso, muito menos as operadoras. Os campos trazem duas informações bem distintas, origem e resposta, são coisas totalmente diferentes!
Entendam o caso antes de culpar alguém! Podemos fazer analogia com uma arma, ela existe e pode ser usada para o bem ou para o mal.
Cara … Shut up!!!
Como diz a reportagem acima, não era essa a resposta que esperávamos …
Você esperar uma resposta não quer dizer que ela precise ser dada. O problema claramente não está no iOS. A Apple não tem absolutamente nada a ver com a forma como o SMS funciona, seja em seus dispositivos ou não.
SE O iMessage ao menos funcionasse eu usaria sem problema nenhum, mas quando habilito ele, fica carregando infinitamente,e depois da erro…
Legal isso!
ja procurei ajuda no forum do blog, mas ele esta “off”, ou com algum problema
Aqui eu nunca tive problemas com o iMessage, e pelo que sei, esse problema de ativação do iMessage geralmente ocorre quando o aparelho tem o desbloqueio de operadora por software…
De fato, e eu uso o iMessage pelo iPod, o maior problema que eu tive até agora, foi em virtude do acréscimo do 9, fora isso, ele é minha mais nova paixão, até pq onde eu trabalho não há sinal de celular, pois é subsolo.
Já notei isso em um telefone de um amigo e o problema era que o iPhone era de fora e não tinha o chip original da operadora, com isso não era possível fazer o processo normal de ativação e pra funcionar aqui no Brasil era necessário o Hacktivate e assim já era FaceTime, iMessage, buscar meu iPhone, ou seja, nada de funções Apple, seria esse o seu caso?
E se funcionasse iria mandar mensagem pra quem?
Todos tem problemas. Torcer para a Apple resolver isso logo.
Claro, usar iMessage vai resolver todos os problemas, né Apple ?
Resposta aos usuarios de Android com a mesma vulnerabilidade: comprem um iphone, é mais seguro
Fiquei um pouco confuso ao pesquisar o assuntos em outras fontes. Me parece que esta falha existe desde 2009… Veja o aritgo: http://arstechnica.com/apple/2009/07/apple-patching-critical-sms-vulnerability-in-iphone-os/
Há varias outras publicações postadas no site Black Hat sobre a vulnerabilidade de SMS no iPhone.
http://www.blackhat.com/html/bh-press/press.html
Se obtiverem alguma informação nos avise por favor..
Obrigado um abraço!
/Adriano
A vulnerabilidade comentada aqui existe desde que inventaram o SMS, muito antes do Jobs ter voltado para a Apple. Você está confundindo com outro caso, cuja vulnerabilidade era outra: http://blogdoiphone.com/2009/07/a-falha-de-seguranca-do-sms-nao-e-exclusiva-do-iphone/
eu esperava outro tipo de respostas! enfim ,ou eles arrumam ou estará dando a bunda pra chutar
Bom, não sei de quem é a culpa mas pelo que li é concesso que o problema existe desde que inventaram o SMS, e até o momento ninguém deixou de usar celular… Então, se vc quer sair do iOS pro android ou WP ou simbia… acho que vai ter o mesmo problema, logo vc não em opção…
Mas concordo com muitos ai que falaram que não era essa a resposta que gostaríamos de ouvir…
Acho que no mínimo apontando de quem era a culpa.
A Apple não pode resolver essa vulnerabilidade, pois a mesma é no protocolo de SMS. Certamente só pode ser resolvido com um protocolo mais seguro.
Isso é mais problema na arquitetura do serviço de Mensagens de Texto da telefonia móvel do que da Apple ou qualquer outra empresa de aparelhos celulares, pois é a rede que permite que uma mensagem seja enviada e entregue sem fazer algum tipo de verificação de veracidade das informações.
de um Iphone para todos meus amigos então!
Isso foi resposta típica que dão aqui… Rs
Nunca cliquei em links em um sms, e não é agora que vou clicar.
Pra mim dessa discussão toda, essa foi a resposta mais inteligente…
Fala sério, quem vai deixar de usar algo que sempre foi inseguro só pq agora sabe-se que é inseguro…
Pode não ser responsabilidade da Apple, mas não foi uma resposta muito “competente”.
A função de SMS do iphone sempre deixou a desejar para qualquer telefone, por falta de funções como aviso de entrega (função primária).
Ao invés de sugerir a restrição de comunicação dos seus clientes aos idevices, deveria simplesmente corrigir o problema existente, isso é comum. Falta de profissionalismo, proatividade e consideração com os clientes.
ehhh “o olho do dono que engorda o gado” vamos ver a Apple sem steve jobs novamente
No IOS 5 pelo menos tem o aviso de recebimento, é só habilitar em ajustes
Uai, que eu saiba existe a opição de se ligar se vc quer ser notificado da entrega do SMS, eu sempre deixo ativo.
Volta Steve!!!
Ele vai consertar o sistema de SMS das operadoras, ou vai redigir uma resposta melhor?
Rsrsrsrs…
Finish him!
O facto é que não depende totalmente da Apple mas também das operadoras.
Nem é vulnerabilidade. É uma função que sempre esteve presente no SMS desde os primórdios da telefonia celular.
Agora, pq um hacker (que já fez excelentes colaborações para o mundo JB) disse que é uma vulnerabilidade todo mundo vai cair de pau!
Ninguém nunca teve curiosidade de ir nas configurações de SMS (dos celulares antigos) e ver o que tinha por lá?
Ta mais fácil um hacker lançar um tweak no Cydia pra resolver isso.
Então é só todo mundo comprar iPhone? Que bom , pensei que fosse mais dificil resolver
Na verdade nem isso resolve, pois se o “ladrão” enviar a mensagem de um tel qualquer, vai sacanear igual todos que tem iphone, pois ela vai chegar mentindo..
Muitas vezes na hora de abrir a mensagem dos nossos amigos nem prestamos atenção se chegou via sms ou imessage..
Pode ser iPad ou iPod também, né?
Hehehehe, verdade. Ou um Mac com o Mountain Lion.
iLex,
Sei que é OFF TOPIC, mas estou desesperado. Tem algum lugar dica de como resolver a questão do CÓDIGO DE CARTÃO DE CRÉDITO INVÁLIDO na conta da iTunes Store. Fui trocar o meu cartão e agora fica aparecendo essa mensagem chata e não consigo atualizar o cadastro. E o pior é que o cartão anterior já foi bloqueado.
Obrigado
Charles
Isso já aconteceu comigo e o único jeito de resolver é criar uma nova conta no iTunes.
Cara, consegui resolver ligando pra operadora de cartão de crédito. No caso do cartão internacional de chip, é necessário solicitar a liberação para compras internacionais a cada 90 dias. Fiz isso e tudo voltou ao normal.
Principalmente, porque o imessage não funciona muito bem. Volta e meia falha e o envio se dá por SMS.
Desliga a possibilidade de envio por SMS.
Aff…
Charles, já tive esse problema e não teve jeito, tive que cadastrar um outro cartão.
Rodrigo, nesse caso já que é uma resposta, você deveria clicar no “Responda este comentário” que fica na área do comentário do Charles. Assim sua resposta não ficará “solta”. Se uma outra pessoa tivesse postado alguma coisa entre o seu “aff….” e a resposta pro Charles, ficaria tosco. Sacou?
Eu sei Janja, é que não estava aparecendo a opção, tanto que o “aff” na verdade foi um teste… Mas valeu!
Pois bem, acho o seguinte: A Apple preciza de vender seus aparelhos, com ou sem o iMessage. Então, a resposta é alguma coisa plausível. Veremos pelo lado que a Apple não atua: Nas operadoras. O que acontece é o seguinte: Quando uma mensagem de qualquer lugar é enviada, ela é criptografada. A criptografia serve como se fosse eu código morse, que somente o aparelho que recebe saberá como decifrar. Pois bem, o que acontece é que os SMS são enviados SEM essa criptografia, pois já imaginaram se o iPhone não conseguisse descriptografar mensagens enviadas de um Samsung por exemplo? As mensagens não chegariam ao seu destino como o esperado… seriam só um amontoado de letras números e símbolos sem sentido algum. então, como evitar problemas com SMS? Simplismente NÃO ABRA. Fácil não é? Pois eh. Dicas: nenhum banco, estado (Governo) ou organização, polícia etic. irá lhe enviar um sms com um link a menos que você o tenha requisitado. Não é uma coisa que deve causar pânico entre todos. Basta um pouco de astúcia. Outra coisa que li: Tweeks… isso tmb não resolve meus queridos. Ninguém vai implantar uma criptografia UNIVERSAL e MUNDIAL para os celulares mais antigos ou os mais recentes assim, se caso acontecesse, seria um CAOS. A culpa não é da Apple, menos ainda da falta do Jobs
Acho que a deixa da Apple foi 100% direcionada às operadoras. Para elas adotarem a segurança igual ao iMessage, bastando verificar o número do remetente e não apenas o número de resposta que pode ser alterado.
Ahhhh, não gostei
gostaria de uma importancia maior por parte da Apple
Tempestade em copo d’água.
Da mesma forma, você pode enviar uma carta no correio usando o remetente de outra pessoa.
E-mails também podem ser enviados com outro endereço de retorno.
Isso não é uma vulnerabilidade, mas sim uma “facilidade”. Cada um que cuide com os fins que dá às mensagens que recebe.
Primeiramente, me desculpem se isso estiver em algum outro local… Desde a mudança do novo “9″ meu iMessage parou de funcionar… Alguém sabe a solução?
Va em Ajustes>Telefone>Meu número e coloque o número 9 na frente do seu numero (depois do 5511) depois disso seu iMessage deve voltar a funcionar.
Não entendo porque a Apple deveria dar uma resposta melhor ou uma solução para esse problema, já que a checagem deveria ser das operadoras. Spoofing é um problema tão grave e tão comum quanto o sniffing, porém quase ninguém da importância. Como exigir qualidade e solução das operadoras se os usuários são tão “inteligentes” como uma porta ?
Se o iMessage funcionasse…
Concordo! Não sei nos EUA e em outros estados do Brasil, mas aqui no ES minha operadora é a VIVO e nem sempre o iMessage funciona. Na maioria das vezes funciona, mas quando você menos espera a mensagem foi via SMS convencional.
Eu moro no ES, uso TIM há mais de um ano e a única vez que o iMessage não funcionou foi quando fiquei sem sinal.
Eu e minha esposa temos iPhone e sempre que eu ou ela usamos iMessage atrasa demais o envio da mensagem. As vezes leva mais de 24 horas pra recebermos uma sms.
Acho que a Apple deveria é comprar a BlackBarry pra ter o BBM e implementar nos seus iDevices.
É uma falha no protocolo SMS. A nao ser que ele mude/seja revisado, a vulnerabilidade continuara existindo para todos. Quem sabe uma revisão do protocolo seja feita pelos orgaos responsaveis e aí sim as fabricantes e operadoras de celular poderão implementar o “patch” fechando a brecha
É só desativar essa função em ajustes-imessager
E pronto =)
Gostei da ideia. Todo mundo usando iPhone
Vocês todos ficam falando mal da Apple, mas pelo menos com o sistema que ela criou, ambos os endereços são verificados. ^^
Qual é? Pra vocês a Apple tem que ser linda em tudo? Se o Jobs deixou a Apple nas mãos do Cook é porque ele achava que o Cook é capaz. Vocês querem tanto o Jobs mas não sabem nem respeitar uma decisão dele. Pensem…
DUVIDA: até agora nao achei o ícone do ***iMessage no iPhone! Eu tenho que comprar / baixar na AppStore ?
nao é bem um icone, ele ja vem com o aparelho
vá em Ajustes> Mensagens> iMessage
Porém, pelo menos pra mim, quando eu o ativo, fica naquela : Esperando ativação… e depois de um tempo dá erro…
Boa sorte
Isso não é nada diferente de e-mails falsos com links maliciosos.
O envio gratuito de SMS pode ser feito do site de qualquer operadora, sem a identificação de envio.
Uma saída super simples é o IOS solicitar uma confirmação de abertura do link.
Na boa? As pessoas precisam estar atentas aos riscos tecnológicos. A pilantragem nunca nos dará trégua.
Pessoal não chega a ser completamente OFF, eu sei que quando agente vai mandar um SMS ele fica verde quando é IMessage ele fica azul ok. Existe algum aplicativo parecido com os que tem hj para marcar no contato qual operadora é o número se elediz se o número possui um Iphone?
Não conheço nenhum, mas você pode criar etiquetas com os nomes das operadoras e marcar nos números de sua agenda.
Agora… se for adicionar um número qualquer e esperar que o celular te diga a operadora, não sei..
Saída? http://consultanumero.abr.net.br:8080/consultanumero/consulta/consultaSituacaoAtual
Luiz, eu já marco as etiquetas por operadora, eu uso o App Portabilidade. Quero marcar na monha agenda quem tem Iphone.
iLex,
Realmente é uma falha grave no sistema de SMS, mas as mensagens de e-mail possui a mesma falha.
É muito fácil enviar uma mensagem alterando o remetente. Eu mesmo já recebi propagandas enviadas “por mim mesmo” de vários produtos. O próprio Gmail (e agora o Outlook.com) me mostra o remetente como “Eu mesmo” nesses casos. E a implementação é super simples: Tanto em PHP, quanto em ASP.Net (que são as linguagens que eu conheço) o campo ‘remetente’ na mensagem é aberto para preenchimento. Eu posso colocar o que eu quiser.
Eu imagino que uma solução para esse tipo de problema é algo mais profundo, no próprio protocolo dos SMSs. A Apple só deve ter seguido a mesma implementação que todos as outras empresas devem utilizar.
Provavelmente por isso a resposta meio desinteressada por parte dela.
a propósito, o iMessage não é só de iPhone para iPhone e por isso os “sms” são de graça?
Não entendi essa de use o iMessage :p
Já estou convencido. Nao se trata de vulnerabilidade da Apple e sim da tecnologia em si que envolve que conhecemos por SMS ,Short Message Service (Serviço de Mensagem Curta). Tem-se que criar algo novo, mais seguro, que atenda as questões de segurança atuais e que esse novo padrão, tecnologia ou protocolo seja adotado por todas as operadoras, como o Bluetooth foi … Como o edge, 3G etc… O SMS serviu muito à sociedade, mas pelo que vejo agora suas estrutura básica de funcionamento não atende mais essa geração que prima por otimização e segurança. O boooom dos dispositivos moveis força a isso.
Quando o problema foi a antena no iPhone 4 ~> Você não está segurando da maneira correta. Agora com a questão da vulnerabilidade nos SMS ~> Use iMessage … Acho que não pode ser assim! =/
Gente vcs não entederam a resposta a Apple. O SMS é inseguro por essas questões que estão sendo discutidas, o IMessage resolve esse problema, ótimo. Só que para massificar o uso do serviço da Apple ela precisa diminuir o valor do Iphone para que mais pessoas possam ter e usar o IMessage. Caso contrario existe o WhatsApp que é compativel com entre smarts.
Eu conheço duas pessoas que tem iPhone, um deles sequer tem iMessage pq é muito antigo e o outro nunca tentou ativar.. Como vou usar imessage assim?
Não gosto do iMessage!
Aproveitando que estamos falando de problemas aqui…
Por acaso alguem tbm está tendo problemas para atualizar os apps pelo iphone?
No meu caso só estou conseguindo atualizar pelo iTunes e depois sincornizar c/ o iPhone.
Ta chato isso… comsigo comprar e baixar apps gratuitos… mas atualizar sempre fica me pedindo a senha do meu ID e depois fala q “esta página esta desatualizada” e nao atualiza..
Alguem que já passou por isso consegui solucionar este problema?
Não estou entendendo este problema pq minha conta na apple esta ok, mas nao consigo mais atualizar meus apps pelo aparelho (iPhone)… peço ajuda a galera ai…
Abs a todos!
Com certeza imessage é mais seguro do que sms normal.. por isso para mim preservar já estou deixando de usar sms.
Sem contar que nunca consegui ativar o iMessage aqui em Angola…