SMS: Hacker entdeckt Sicherheitslücke beim Apple iPhone
Der Hacker Pod2g ist beim iPhone von Apple auf eine unerfreuliche Sicherheitslücke gestoßen, die unter iOS 5 als auch iOS 6 an Bord ist: Es handelt sich dabei um ein „Feature“, welches wir beispielsweise auch von E-Mails kennen. Das verwendete Protokoll ermöglicht es iPhone-Besitzern, eine reply-to-Nummer anzugeben. Ihr könnt also eine SMS von einer Nummer schicken und konfigurieren, dass die Antwort automatisch an eine andere Telefon-Nummer geht.
Problem dabei: dem Empfänger wird lediglich die reply-to-Nummer angezeigt. Wenn euch nun jemand nicht wohlgesonnen ist, kann er euch praktisch vorgaukeln, dass die SMS von einer Bank oder was auch immer kommt. Wohin dort inkludierte Links führen können, muss man hier ja sicher niemandem erklären.
Der Hacker hat sich mit seiner Entdeckung bzw mit seinem Unmut über diese Funktion direkt mal an Apple gewandt, aus Cupertino kam auch ziemlich flott eine Reaktion:
Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.
Kurz zusammengefasst: Apple weiß, dass die SMS nicht sonderlich sicher ist und bittet euch, iMessage statt SMS zu nutzen. Sieht zumindest für mich nicht danach aus, als würde sich irgendjemand in Cupertino weitergehende Gedanken machen, wie man an der Sicherheit des SMS-Dienstes arbeitet.
Davon abgesehen gibt es natürlich auch jenseits des iPhone die Möglichkeit, euch einen falschen Absender vorzugaukeln. Bei SMS von Banken etc sollte man also ruhig generell skeptisch sein, egal auf welchem Handy diese SMS ankommt. Ich habe nie eine SMS von einer Bank erhalten und möchte wetten, dass das a) auch nicht passieren wird und b) man mich sicher nicht per Link auffordern würde, da dann eine bestimmte Seite zu öffnen – also Augen auf!
Wird geladen ...
Für die ganzen Leute die schreiben „Androiden haben das nicht – die versenden mit Reply-To“:
Mag ja stimmen (kann ich nicht beurteilen), bloß Ganoven benutzen dafür Computersoftware mit irgendwelchen alten Handys als Modem (ist OpenSource) geht einfacher und mit Massenversand an gekaufte Nummern wenn der Ganove schläft (am nächsten Morgen klingelt die Kasse).
Übrigens sind hier kostenpflichtige Nummern viel interessanter wie Links:
„Hier ist der Thomas*, ich hab ’n neues Handy, wie gehts dir so – schreib mal“
* == irgendein häufiger Name
Es ist zwar rauszufinden wem die Bezahlnummer gehört – aber quasi nicht zu beweisen, dass die fiese Massen-SMS vom selben Ganoven kommt + die meisten werden wegen der Beträge die so ’ne SMS kostet nichtmal drüber nachdenken zum Anwalt zu gehen.
Ähm, Jungs… wieso prüft Ihr nicht einfach die Absender-Adresse, wenn der Inhalt nicht koscher ist? Oder reicht das auch nicht?
Somit bliebe eine kleine Möglichkeit sogar die Sender-Nummer vorzutäuschen, aber dass kann nur der Provider. Aber theoretisch ist es möglich dass dir also die 911 eine SMS schreibt.
Wie gesagt, dies wäre dann ein Insid-Job oder zumindest jemand mit internem Know-how => extrem illegal eigentlich…