Forscher findet Möglichkeit für SMS-Manipulation in iOS

Das iPhone verwendet für Antworten auf SMS statt der Absenderadresse eine im Header hinterlegte Nummer. Diese lässt sich frei wählen. Apple sieht den Fehler als "Feature" an und rät stattdessen zur Nutzung seiner Anwendung iMessage.

Ein Sicherheitsforscher, der sich selbst „pod2g“ nennt, hat eine Sicherheitslücke in iOS beim Umgang mit SMS gefunden. In seinem Blog beschreibt er die Schwachstelle als „kritisch“. Sie existiere seit Anfang an in der Implementierung von SMS in Apples Mobilbetriebssystem und sei auch noch in der Beta 4 von iOS 6 vorhanden.

Der Fehler steckt pod2g zufolge im Header von SMS-Nachrichten. Er enthält neben der Telefonnummer des Absenders auch eine frei wählbare Nummer, an die eine Antwort geschickt werden soll. Das iPhone zeige aber nur diese Antwortnummer an. „Wenn der Empfänger antwortet, dann geht seine Nachricht nicht an den Absender, sondern an die hinterlegte Nummer“, schreibt der Forscher.

Pod2g selbst will in Kürze eine Anwendung für das iPhone 4 herausbringen, die eine Manipulation der Antwortnummer ermöglicht. Für andere Smartphones seien solche Tools bereits online erhältlich. Kriminelle könnten so eine Nachricht verschicken und sich beispielsweise als Bank des Empfängers oder eine beliebige Person oder Organisation ausgeben, um persönliche Daten abzufragen, befürchtet pod2g. Eine manipulierte Nachricht könne aber auch als gefälschter Beweis eingesetzt werden.

„In einer guten Implementierung dieser Funktion sieht der Empfänger die ursprüngliche Telefonnummer und die Antwortnummer“, ergänzte pod2g. Apple forderte er auf, das Problem mit dem finalen Release von iOS 6 zu beheben.

Der iPhone-Hersteller sieht die Spoofing-Lücke jedoch als „Feature“, und nicht als einen Fehler an. „Apple nimmt Sicherheit sehr ernst“, teilte das Unternehmen dem Blog Engadget mit. „Wenn man iMessage statt SMS verwendet, dann werden Adressen überprüft, was gegen solche Spoofing-Angriffe schützt. Eine der Einschränkungen von SMS ist, dass es den Versand von Nachrichten mit gefälschten Adressen erlaubt. Wir raten unseren Kunden, sehr vorsichtig zu sein, wenn sie per SMS zu einer Website oder Adresse geleitet werden.“

[mit Material von Eric Mack, News.com]

Themenseiten: Apple, Mobile, iOS, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Forscher findet Möglichkeit für SMS-Manipulation in iOS

Kommentar hinzufügen
  • Am 20. August 2012 um 21:08 von Paul

    Die Hauptgefahr sehe ich darin, dass der Absender eine kostenpflichtige Nummer einbauen kann, mit der er den Empfänger abzockt.

  • Am 20. August 2012 um 10:13 von Napava

    pod2g ist kein Sicherheitsforscher ihr Nasen (xD), dass ist ein Hacker der sich auf Smartphones, insbesondere dem iPhone, spezialisiert hat. Er sucht die Betriebssysteme systematisch nach Lücken ab, die ausgenutzt werden können, um das Device zu „jailbreaken“ und manchmal stößt er dabei auch auf kritische Sicherheitslücken wie diese

    MfG Napava

    • Am 20. August 2012 um 10:44 von McNoise

      ich sehe da gar keine sicherheitslücke und wüsste auch nicht, bei welchem handy oder smartphone beides – also einerseits absender- und andererseits antwort-telefonnummer sichtbar ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *