SMS: Hacker entdeckt Sicherheitslücke beim Apple iPhone
Der Hacker Pod2g ist beim iPhone von Apple auf eine unerfreuliche Sicherheitslücke gestoßen, die unter iOS 5 als auch iOS 6 an Bord ist: Es handelt sich dabei um ein „Feature“, welches wir beispielsweise auch von E-Mails kennen. Das verwendete Protokoll ermöglicht es iPhone-Besitzern, eine reply-to-Nummer anzugeben. Ihr könnt also eine SMS von einer Nummer schicken und konfigurieren, dass die Antwort automatisch an eine andere Telefon-Nummer geht.
Problem dabei: dem Empfänger wird lediglich die reply-to-Nummer angezeigt. Wenn euch nun jemand nicht wohlgesonnen ist, kann er euch praktisch vorgaukeln, dass die SMS von einer Bank oder was auch immer kommt. Wohin dort inkludierte Links führen können, muss man hier ja sicher niemandem erklären.
Der Hacker hat sich mit seiner Entdeckung bzw mit seinem Unmut über diese Funktion direkt mal an Apple gewandt, aus Cupertino kam auch ziemlich flott eine Reaktion:
Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.
Kurz zusammengefasst: Apple weiß, dass die SMS nicht sonderlich sicher ist und bittet euch, iMessage statt SMS zu nutzen. Sieht zumindest für mich nicht danach aus, als würde sich irgendjemand in Cupertino weitergehende Gedanken machen, wie man an der Sicherheit des SMS-Dienstes arbeitet.
Davon abgesehen gibt es natürlich auch jenseits des iPhone die Möglichkeit, euch einen falschen Absender vorzugaukeln. Bei SMS von Banken etc sollte man also ruhig generell skeptisch sein, egal auf welchem Handy diese SMS ankommt. Ich habe nie eine SMS von einer Bank erhalten und möchte wetten, dass das a) auch nicht passieren wird und b) man mich sicher nicht per Link auffordern würde, da dann eine bestimmte Seite zu öffnen – also Augen auf!
Ich sags mal so, lustig ist was anderes, aber ich bekomm regelmäßig SMS von der Bank, da ja nur noch mTans verwendet werden 😉
Mal schauen, ob von der Bank nochmal was dazu kommt…
Falsch, falsch, falsch!
Das ist keine Sicherheitslücke, das ist ein Feature.
Und überhaupt sind wie sonst auch immer die anderen schuld.
Ich stecke da jetzt nicht genau in der Materie, aber was macht dieses Problem iPhone-spezifisch?
Wie ich es verstanden habe liegt das Problem bei dem Medium SMS an sich, oder?
Bieten andere Hersteller dieses „Reply to“ für SMS nicht an, oder haben es besser gelöst?
SMS-Tan nutze ich auch, nur erwartet man ja diese SMS und hat den direkten zeitlichen Bezug zur Transaktion. Da sehe ich auf den ersten Blick für mich kein Risiko.
zumal man sonst höchstens eine falsche Tan eingibt… auch nicht weiters schlimm.
Ich bekomme bei jeder Überweisung ne SMS von meiner Bank 😉
Natürlich ist das nicht nur ein reines iPhone Problem aber auf dem Apfel lässt sich im Moment am besten rumhacken. Das Thema ist so alt wie das Feature (irgendwann mit einem der ersten Nokia Communicator kam das auf) interessiert hat es keinen, da SMS ja eh nur ein Abfallprodukt ist….
Ne, ne, das ist schon ein iPhone-Problem. Praktisch alle anderen Hersteller tragen nicht die Return-to Nummer ein, sondern stellen bei der SMS die tatsächliche Absendernummer dar.
Damit ist der Effekt weg, dass man jemandem eine falsche Nummer vorspielt.
Und nein, ich bin kein Apple-Hasser, und auch kein Android FanBoy oder umgekehrt. Apple zeigt damit eben deutlich, welche Wichtigkeit der Thematik eingeräumt wird. Wie man das nun für sich bewertet ist jedem selbst überlassen. 🙂
Mich würde es nicht stören, denn erstens nutze ich SMS seit WhatsApp oder ChatOn nur noch sehr selten, und wenn, würde ich sowieso nicht auf einen Link in einer SMS klicken.
@FranXZaver
ich unterstelle mal pageview-fishing anhand von stichworten ‚hacker, iphone usw.’… lese mittlerweile echt selten hier die beiträge von Casi, da es immer nur um irgendwelche gerüchte, klagen oder unnütze verschwörungsstories in diesen beiträgen gilt. nichts für ungut, jeder schreibt ja wie er will und über was er will, aber diese beiträge ziehen meiner meinung nach das gesamtbild des blogs runter, da weder hand noch fuss in den beiträgen zu finden ist.
und klar kann es apple egal sein, sms ist sowas von 2001, dafür haben wir doch iMessage, WhatsApp etcpp und ordentliche fake-flatrates. zumindest überall außerhalb deutschlands, hat man das gefühl…
wer ironie findet, darf sie behalten….
Bitte, bitte, SMS ist doch so eine neuartige Technologie, da kann doch niemand wirklich erwarten, dass das Fallobst das jetzt schon vollständig im Griff hat, oder?
Also itans bekommt man als SMD von seiner Bank
Kann mir mal jemand sagen, wie das gehen soll? Wusste gar nicht, das das geht… Wär ganz praktisch für online SMS…
Ich kann die Aufregung nicht nachvollziehen…. GMX WebSMS Dienst hat dieses ‚Feature‘ bereits seit Jahren. Beworben wird es mit ‚Wunschabsendernamen‘ eingeben, aber statt Buchstaben kann man au Ziffern eingeben… Den Rest kann sich jeder Denken….
Ja, das hat nun so gar nichts mit dem iPhone zu tun und ist auch weiß Gott nichts neues. Da hat sich halt jemand gut produzieren können.
@Jens: Es hat zumindest in soweit mit iOs zu tun, da andere Anbieter (zumindest hab ich es sonst noch nie erlebt) nicht die Reply-To-Adresse als Abesender angeben sondern eben nur als Reply-To.
Wenn du nun eine SMS von „Unbekannt“ bekommst und die Antwort an „Meine Bank“ geht ist das Gefahrenpotenzial eher gering.
Steht dort aber „Meine Bank“ als Absender.. naja wir wissen es ja.
Welch genialer Ratschlag statt SMS nur noch iMessage zu verwenden, als ob die ganze Welt iMassage empfangen könnte … Ich bin mal gespannt wann es die ersten Missbrauchfälle gibt und wann man darauf reagiert
Das was Jens sagt.
Das „Problem“ gibts schon seitdem es SMS gibt. Einfach im Header einen anderen Absender angeben und schon passts. Klappt auch mit eMails.
Immer das Beispiel mit der Bank!?
Viel lustiger stelle ich mir vor, wenn jemand sich als mich ausgibt. Dürfte zB. schwer werden meinem Chef zu erklären, dass all die lustigen Beleidigungen nicht von mir waren.
Die passende App ist vom selben Hacker schon in Arbeit.
Übrigens handelt es sich dabei genau um ein Problem für die Android Fraktion, da (auch) die Mobilfunkbetreiber den Header nicht richtig auslesen. Das es zuerst das iPhone getroffen hat ist für mich nur eine PR Maßnahme. Die meisten Apps werden ja auch zuerst für iOS veröffentlich. 🙂
dass die SMS von einer Bank oder was auch immer kommt. Wohin dort inkludierte Links führen können
Links in einer SMS? Versteh ich nicht so ganz.
Sehe diesen „Bug“ nun nicht unbedingt als Sicherheitsproblem Apples. SMS Absender lassen sich generell einfach fälschen weil es das Protokoll eben nicht anders vorsieht. Diverse Dienste im Internet z.B. für kommerzielle Zwecke lassen einen beliebigen Absender konfigurieren.
Genauso sollte jedem klar sein, dass sich auch ein Email Absender beliebig fälschen lässt. Die simpelste Methode ist hier einfach den Absender im Email Client zu ändern. Anderenfalls von einem Server einfach mal per Telnet eine Mail versenden.
Generell kann man sich nur sicher sein, wenn der Absender seine Mail per Zertifikat signiert, denn dieses lässt sich nicht einfach fälschen. Oder man eben wie bei iMessage Nachrichten innerhalb eines geschlossenen Systems versendet.
Außerdem gilt bei SMS als auch bei Email, deine Bank wird dich niemals auf diesem Wege auffordern Kontonummer, PIN oder Ähnliches preiszugeben!
@ChrissCross
Du vermischt das mit der Reply-To-Adresse einer Email. Bei einer SMS ist das die Adresse, die *jedes* Gerät als Absenderadresse anzeigt, weil es schlicht die einzige Adresse ist. Man kann diese nur überschreiben. Das erkennt kein Telefon, der Versand „gefälschter“ Nummern muss auf Providerebene unterbunden werden.