Ein Sicherheitsforscher, der sich selbst „pod2g“ nennt, hat eine Sicherheitslücke in iOS beim Umgang mit SMS gefunden. In seinem Blog beschreibt er die Schwachstelle als „kritisch“. Sie existiere seit Anfang an in der Implementierung von SMS in Apples Mobilbetriebssystem und sei auch noch in der Beta 4 von iOS 6 vorhanden.
Der Fehler steckt pod2g zufolge im Header von SMS-Nachrichten. Er enthält neben der Telefonnummer des Absenders auch eine frei wählbare Nummer, an die eine Antwort geschickt werden soll. Das iPhone zeige aber nur diese Antwortnummer an. „Wenn der Empfänger antwortet, dann geht seine Nachricht nicht an den Absender, sondern an die hinterlegte Nummer“, schreibt der Forscher.
Pod2g selbst will in Kürze eine Anwendung für das iPhone 4 herausbringen, die eine Manipulation der Antwortnummer ermöglicht. Für andere Smartphones seien solche Tools bereits online erhältlich. Kriminelle könnten so eine Nachricht verschicken und sich beispielsweise als Bank des Empfängers oder eine beliebige Person oder Organisation ausgeben, um persönliche Daten abzufragen, befürchtet pod2g. Eine manipulierte Nachricht könne aber auch als gefälschter Beweis eingesetzt werden.
„In einer guten Implementierung dieser Funktion sieht der Empfänger die ursprüngliche Telefonnummer und die Antwortnummer“, ergänzte pod2g. Apple forderte er auf, das Problem mit dem finalen Release von iOS 6 zu beheben.
Der iPhone-Hersteller sieht die Spoofing-Lücke jedoch als „Feature“, und nicht als einen Fehler an. „Apple nimmt Sicherheit sehr ernst“, teilte das Unternehmen dem Blog Engadget mit. „Wenn man iMessage statt SMS verwendet, dann werden Adressen überprüft, was gegen solche Spoofing-Angriffe schützt. Eine der Einschränkungen von SMS ist, dass es den Versand von Nachrichten mit gefälschten Adressen erlaubt. Wir raten unseren Kunden, sehr vorsichtig zu sein, wenn sie per SMS zu einer Website oder Adresse geleitet werden.“
[mit Material von Eric Mack, News.com]
Neueste Kommentare
3 Kommentare zu Forscher findet Möglichkeit für SMS-Manipulation in iOS
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Die Hauptgefahr sehe ich darin, dass der Absender eine kostenpflichtige Nummer einbauen kann, mit der er den Empfänger abzockt.
pod2g ist kein Sicherheitsforscher ihr Nasen (xD), dass ist ein Hacker der sich auf Smartphones, insbesondere dem iPhone, spezialisiert hat. Er sucht die Betriebssysteme systematisch nach Lücken ab, die ausgenutzt werden können, um das Device zu „jailbreaken“ und manchmal stößt er dabei auch auf kritische Sicherheitslücken wie diese
MfG Napava
ich sehe da gar keine sicherheitslücke und wüsste auch nicht, bei welchem handy oder smartphone beides – also einerseits absender- und andererseits antwort-telefonnummer sichtbar ist.