Forscher findet Möglichkeit für SMS-Manipulation in iOS

Ein Sicherheitsforscher, der sich selbst „pod2g“ nennt, hat eine Sicherheitslücke in iOS beim Umgang mit SMS gefunden. In seinem Blog beschreibt er die Schwachstelle als „kritisch“. Sie existiere seit Anfang an in der Implementierung von SMS in Apples Mobilbetriebssystem und sei auch noch in der Beta 4 von iOS 6 vorhanden.

Der Fehler steckt pod2g zufolge im Header von SMS-Nachrichten. Er enthält neben der Telefonnummer des Absenders auch eine frei wählbare Nummer, an die eine Antwort geschickt werden soll. Das iPhone zeige aber nur diese Antwortnummer an. „Wenn der Empfänger antwortet, dann geht seine Nachricht nicht an den Absender, sondern an die hinterlegte Nummer“, schreibt der Forscher.

Pod2g selbst will in Kürze eine Anwendung für das iPhone 4 herausbringen, die eine Manipulation der Antwortnummer ermöglicht. Für andere Smartphones seien solche Tools bereits online erhältlich. Kriminelle könnten so eine Nachricht verschicken und sich beispielsweise als Bank des Empfängers oder eine beliebige Person oder Organisation ausgeben, um persönliche Daten abzufragen, befürchtet pod2g. Eine manipulierte Nachricht könne aber auch als gefälschter Beweis eingesetzt werden.

„In einer guten Implementierung dieser Funktion sieht der Empfänger die ursprüngliche Telefonnummer und die Antwortnummer“, ergänzte pod2g. Apple forderte er auf, das Problem mit dem finalen Release von iOS 6 zu beheben.

Der iPhone-Hersteller sieht die Spoofing-Lücke jedoch als „Feature“, und nicht als einen Fehler an. „Apple nimmt Sicherheit sehr ernst“, teilte das Unternehmen dem Blog Engadget mit. „Wenn man iMessage statt SMS verwendet, dann werden Adressen überprüft, was gegen solche Spoofing-Angriffe schützt. Eine der Einschränkungen von SMS ist, dass es den Versand von Nachrichten mit gefälschten Adressen erlaubt. Wir raten unseren Kunden, sehr vorsichtig zu sein, wenn sie per SMS zu einer Website oder Adresse geleitet werden.“

[mit Material von Eric Mack, News.com]