SMS-Spoofing-Lücke beschränkt sich auf iOS

Die vergangene Woche vom Hacker „pod2g“ gemeldete SMS-Spoofing-Lücke beschränkt sich auf iOS. AdaptiveMobile hat weiter zu dem Problem geforscht und kommt zu dem Schluss, dass sich untergeschobene Texte und Phishing-Angriffe auf dem iPhone deutlich schwerer entdecken lassen als auf Mobilgeräten mit anderem Betriebssystem.

Der Unterschied besteht darin, dass nur iOS ein Feld für „Antworten an“ zeigt, das sich missbrauchen lässt, um eine andere als die tatsächliche Absendernummer ins Blickfeld des Anwenders zu bringen. „Wir haben das unter Android, Windows Phone, BlackBerry und Symbian getestet, und die meisten ignorieren die ‚Antwort-Adresse‘ einfach oder zeigen – wie in der Spezifikation vorgesehen beide Adressen an“, schreibt Cathal McDaid in einer Mail an News.com.

„Das iPhone ist das bisher einzige Gerät, das sich nicht an die Sicherheitsempfehlungen hält. Apple hat somit eine bedeutende Schwachstelle in seinen Telefonen, mit der sich Nutzer hereinlegen lassen könnten, um etwa persönliche Daten an Hacker und Kriminelle zu senden.“ AdaptiveMobile schließt sich somit voll der ursprünglichen These von „pod2g“ an.

Das Reply-to-Feld sei eigentlich für Werbebotschaften gedacht gewesen, um Antworten an eine nur für den Versand gedachte Rufnummer zu vermeiden, schreibt Daid. Heute sei es aber üblich, dass Handys das Feld ignorierten.

Apple hatte auf Nachfragen nicht direkt reagiert, sondern der unsicheren SMS-Technik selbst die Schuld gegeben. Das Problem gäbe es gar nicht, wenn jeder iMessage verwenden würde.

[mit Material von Eric Mack, News.com]