Onderzoekers van de North Carolina State University hebben een kwetsbaarheid in Android ontdekt, die het mogelijk maakt voor applicaties om valse sms-berichten op het toestel van een gebruiker te plaatsen. Daarvoor zijn geen speciale permissies vereist.
Volgens de onderzoekers kan de kwetsbaarheid worden gebruikt voor phishing via sms-berichten, aangezien apps valse sms-berichten kunnen plaatsen die afkomstig lijken van een contactpersoon of bijvoorbeeld een bank. Voor het plaatsen van de nepberichten is geen speciale permissie vereist; elke applicatie zou de kwetsbaarheid dus kunnen misbruiken.
De kwetsbaarheid is in ieder geval aanwezig in de Android-versies 2.2, 2.3, 4.0 en 4.1. Inmiddels is Google op de hoogte gesteld en het bedrijf heeft beloofd een fix uit te brengen in een toekomstige Android-versie. Hoe die oplossing eruit komt te zien, is onduidelijk. De onderzoekers willen verdere technische details van de kwetsbaarheid pas vrijgeven als de fix is doorgevoerd.
In augustus ontdekte een beveiligingsonderzoeker dat het mogelijk is om naar iOS-apparaten sms'jes te versturen die afkomstig lijken te zijn van een bepaald telefoonnummer. Dat was mogelijk door de header van het sms'je te manipuleren. Het is in de header van een sms mogelijk om het reply-to-telefoonnummer te veranderen, maar de iPhone toonde dat reply-to-nummer als de afzender.