Os iPhones possuem uma falha de segurança que pode ser considerada grave. Descoberta pelo hacker e pesquisador pod2g, a vulnerabilidade pode facilitar o roubo de informações pessoais através de mensagens de texto. Um SMS recebido pelo iPhone pode ter seu cabeçalho alterado, fazendo com que o usuário responda à mensagem para um número malicioso.

A falha de segurança completou cinco anos de vida e, segundo o hacker, existe desde as primeiras implementações do SMS no iOS. Quem ainda tem o primeiro iPhone, anunciado em janeiro de 2007, está vulnerável. E quem está utilizando um iPhone com o último beta do iOS 6 também pode ser escolhido como alvo.

Um SMS é formado por alguns bytes de informação que são trocados entre dois celulares por meio de uma operadora de telefonia móvel. A mensagem de texto digitada pelo usuário é transportada pelo PDU (Protocol Data Unit) e possui um cabeçalho opcional chamado de UDH (User Data Header). É nesse cabeçalho que está o grande problema.

O UDH contém informações como o número do remetente e o número de resposta do SMS. Como as operadoras não checam o número de resposta e o iOS não exibe essa informação, o número pode ser alterado livremente sem que o usuário perceba. Se alguém explorar bem essa falha, o iPhone exibirá uma mensagem “enviada” por alguém conhecido e a sua resposta será enviada para outra pessoa.

Essa falha permite que usuários maliciosos finjam ser funcionários do seu banco e capturem informações pessoais e, se alguém não gostar de você, pode enviar um SMS com cabeçalho modificado para usá-lo como evidência de um crime.

Não confie em ninguém e nunca passe informações sensíveis por SMS (e lembre-se de que um banco ou a Receita Federal nunca entrarão em contato pedindo dados pessoais). Os cuidados são válidos mesmo para quem não tem um iPhone, porque a falha pode estar presente em qualquer aparelho que suporte os recursos do UDH.

Por Paulo Higa