ANTWORTEN

SMS-Betrug: Hacker entdeckt schwere Sicherheitslücke in iOS

17.08.12 | 17:54 Uhr - von Eric Schäfer
(Bild: idownloadblog)

Traue nie einer SMS auf dem iPhone. Zu diesem Schluss kommt ein Hacker, der eine schwere Sicherheitslücke in iOS entdeckt hat. Dabei geht es um eine Möglichkeit bei einer SMS die Antwort-Nummer zu ändern. Der Fehler existiert noch immer in iOS 6 Beta 4 und öffnet eine Tür für Betrug.

Obwohl Apple gern auf die Sicherheit von iOS hinweist, entdecken Hacker immer wieder Sicherheitslücken. So hat zum Beispiel Hacker Pod2g in seinem Blog eine weitere Sicherheitsschwachstelle zur Liste hinzugefügt, die bereits seit den Anfangstagen des iPhones besteht und bislang noch nicht beseitigt wurde.

ANZEIGE

Es geht um eine Schwachstelle beim Versenden von SMS. Wird eine SMS verschickt, so  werden zwischen den Mobiltelefonen ein paar Bytes ausgetauscht, wobei der Provider die Informationen transportiert. Die geschriebene Nachricht wird in ein PDU (Protocol Description Unit) umgewandelt und weitergereicht.

In der so genannten Text-Payload gibt es einen optionalen Abschnitt namens UDH (User Data Header), der zahlreiche erweiterte Funktionen bietet, mit denen nicht alle Handys kompatibel sind. Eine dieser Optionen erlaubt es dem Anwender, die Antwort-Adresse der Nachricht zu ändern und dort eine andere Telefonnummer einzugeben. Wenn das mobile Zielgerät mit der erwähnten Funktion kompatibel ist, und der Empfänger versucht, den Text zu beantworten, wird er nicht auf die Originalnummer antworten, sondern auf die spezifizierte.

Daraus können Probleme entstehen, denn viele Dienste nutzen Textnachrichten um Accounts und Account-Infos zu verifizieren. Die meisten Provider aber prüfen diesen Teil der SMS-Nachricht nicht, so dass jeder in diesen Teil eine beliebige Antwortnummer schreiben kann, an die der Empfänger der SMS dann seine Antwort schickt.

Hacker könnten also eine SMS senden, die angeblich von einer Bank kommt und private Daten abfragen, die dann an eine andere Empfängernummer geleitet werden. In einer sicheren Implementierung dieser erwähnten Funktion sieht der Empfänger die Original-Telefonnummer und diejenige zum Antworten. Aber beim iPhone erscheint nur die Antwortnummer – und das hat sich bis iOS 6 Beta 4 noch nicht geändert. 

Mehr zu: iOS | SMS

Artikel kommentieren

Bild von Gast Maclife

geht ja wirklich!

Bild von Larnius

Also ärgerlich kann das schon sein - aber wer auf eine SMS a la: "hallo, hier ist Ihre Bank, wir haben ein Problem und benötigen Ihre Kontonummer, Pin und Ihr Sicherheitskennwort" reinfällt ist leider echt selber schuld....
Das sind dieselben Leute die im Internet Ihre Kreditkartennummer + Sicherheitszahlen angeben..

Bild von LordKnuth

Na das ist ja wohl eine Sicherheitslücke der Mobilfunkanbieter. Die Absenderkennung ist manipulierbar, Punkt.

Andere Telefone zeigen dann nur zwei Absender an, was nun nicht unbedingt eine große Hilfe ist.

Bild von nicegay35

Das muss man wohl ,selbst bei amazon Oder sehe

ich das falsch

Bild von Larnius

Ich meinte eher Popups wie: Is your creditcard stolen? Check it now and enter your number and security code..

Dass man es bei "sicheren" Seiten eingeben kann ist ja klar ;-)
Evtl hab ich mich unverständlich ausgedrückt...

Bild von nicegay35

Aber wie blöde muss man den sein um da seine Numer eingeben ?

Bild von Larnius

Genauso doof wie irgendwelche Informationen per SMS zu versenden ;-)

Bild von batDan

Das ist wohl tatsächlich eine Sicherheitslücke, die schnellstmöglich behoben werden sollte. Der Grund für die Lücke dürfte sein, das Apple halt alle Funktionen so minimalistisch und einfach wie möglich implementiert, in diesem Fall ist das daneben gegangen...

Was aber auch nervt, dass Apple immer noch nicht alle Features unterstützt, die andere Mobiltelefone immer schon hatten: Ich will auch bei der SMS eine Empfangsbestätigung erhalten, wenn die SMS beim Empfänger angekommen ist. Das ist eine übliche Funktion im Mobilfunkstandard, auf dem iPhone aber nur mit kryptischen Codes beim Versenden einer SMS manuell einschaltbar oder per Jailbreak-App.

Bild von BioExorzist

Quasi wie bei E-Mail, heißt also nur das man sich bewusst machen muss, dass die Kurzmitteilung auch gefälscht sein kann...

Bild von IxasXerxes

Wenn man sich sicher ist was man macht sollte man damit keinen Ärger haben.

Was mich in Punkto minimalismus mehr nervt ist, dass man unter iOS keine eingehenden Anrufe vom Sperrbildschirm ablehnen kann.

Bild von nafets

Anrufe beim Sperrbildschirm ablehnen: kurzer Tastendruck des Ausschalttaste!

Bild von ck222

genauer: einmal ausschaltet = ignorieren. Es klingelt stumm weiter.
zwei mal ausschalter = es wird sofort aufgelegt.

Kommentar hinzufügen

Captcha
Diese Frage hat den Zweck zu testen, ob Sie ein menschlicher Benutzer sind und um automatisierten Spam vorzubeugen.
eins + vierzehn =
Lösen Sie die Aufgabe und geben Sie das Ergebnis (als Zahl) ein.

MAC-LIFE-NEWSLETTER BESTELLEN

IPOD-FORUM

Aktuelle Topseller PDFs

Mac Life 04.2014

Ausgabe: 4/2014
12 MB
4.49 €

Mac Life 05.2014

Ausgabe: 5/2014
63 MB
4.49 €

iPad Life 02.2014

Ausgabe: 2/2014
18.64 MB
5.99 €

AppBibel 01.2014

Ausgabe: 1/2014
15.74 MB
4.49 €

iPadBIBEL 02.2014

Ausgabe: 2/2014
50 MB
8.99 €
 
MAC LIFE MARKTPLATZ

McBüro – die betriebswirtschaftliche Software

für Mac, PC und iOS

McBüro – die betriebswirtschaftliche Software
McBüro – die betriebswirtschaftliche Software für Mac, PC und iOS

Für Handel • Produktion • Dienstleistung • Handwerk • Agenturen • Verlage
Individuell - Anpassbar - Flexibel - Modular


Informieren Sie sich jetzt und laden Sie sich eine Demo-Version: www.McBuero.info
Weitere Infos finden Sie hier

MacLife Gold

Jetzt kostenlos 60 Tage testen

MacLife Gold

Die erste Flatrate für Apple-Fans

Print und Online

100 Ausgaben jährlich für eine Flatrate. Für iPhone, iPad & Co.

iNewsweek: Jede Woche neues aus der Apple Welt

Nur 9,90 im Monat - Sie sparen jährlich 196,72 Euro 

 


 

 

 

 

 

 

 

 

Weitere Infos
Zur Startseite