Antworten

SMS-Betrug: Hacker entdeckt schwere Sicherheitslücke in iOS

Traue nie einer SMS auf dem iPhone. Zu diesem Schluss kommt ein Hacker, der eine schwere Sicherheitslücke in iOS entdeckt hat. Dabei geht es um eine Möglichkeit bei einer SMS die Antwort-Nummer zu ändern. Der Fehler existiert noch immer in iOS 6 Beta 4 und öffnet eine Tür für Betrug.

Von   Uhr

Obwohl Apple gern auf die Sicherheit von iOS hinweist, entdecken Hacker immer wieder Sicherheitslücken. So hat zum Beispiel Hacker Pod2g in seinem Blog eine weitere Sicherheitsschwachstelle zur Liste hinzugefügt, die bereits seit den Anfangstagen des iPhones besteht und bislang noch nicht beseitigt wurde.

Es geht um eine Schwachstelle beim Versenden von SMS. Wird eine SMS verschickt, so  werden zwischen den Mobiltelefonen ein paar Bytes ausgetauscht, wobei der Provider die Informationen transportiert. Die geschriebene Nachricht wird in ein PDU (Protocol Description Unit) umgewandelt und weitergereicht.

In der so genannten Text-Payload gibt es einen optionalen Abschnitt namens UDH (User Data Header), der zahlreiche erweiterte Funktionen bietet, mit denen nicht alle Handys kompatibel sind. Eine dieser Optionen erlaubt es dem Anwender, die Antwort-Adresse der Nachricht zu ändern und dort eine andere Telefonnummer einzugeben. Wenn das mobile Zielgerät mit der erwähnten Funktion kompatibel ist, und der Empfänger versucht, den Text zu beantworten, wird er nicht auf die Originalnummer antworten, sondern auf die spezifizierte.

Daraus können Probleme entstehen, denn viele Dienste nutzen Textnachrichten um Accounts und Account-Infos zu verifizieren. Die meisten Provider aber prüfen diesen Teil der SMS-Nachricht nicht, so dass jeder in diesen Teil eine beliebige Antwortnummer schreiben kann, an die der Empfänger der SMS dann seine Antwort schickt.

Hacker könnten also eine SMS senden, die angeblich von einer Bank kommt und private Daten abfragen, die dann an eine andere Empfängernummer geleitet werden. In einer sicheren Implementierung dieser erwähnten Funktion sieht der Empfänger die Original-Telefonnummer und diejenige zum Antworten. Aber beim iPhone erscheint nur die Antwortnummer – und das hat sich bis iOS 6 Beta 4 noch nicht geändert. 

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "SMS-Betrug: Hacker entdeckt schwere Sicherheitslücke in iOS" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

geht ja wirklich!

Also ärgerlich kann das schon sein - aber wer auf eine SMS a la: "hallo, hier ist Ihre Bank, wir haben ein Problem und benötigen Ihre Kontonummer, Pin und Ihr Sicherheitskennwort" reinfällt ist leider echt selber schuld....
Das sind dieselben Leute die im Internet Ihre Kreditkartennummer + Sicherheitszahlen angeben..

Na das ist ja wohl eine Sicherheitslücke der Mobilfunkanbieter. Die Absenderkennung ist manipulierbar, Punkt.

Andere Telefone zeigen dann nur zwei Absender an, was nun nicht unbedingt eine große Hilfe ist.

Das muss man wohl ,selbst bei amazon Oder sehe

ich das falsch

Ich meinte eher Popups wie: Is your creditcard stolen? Check it now and enter your number and security code..

Dass man es bei "sicheren" Seiten eingeben kann ist ja klar ;-)
Evtl hab ich mich unverständlich ausgedrückt...

Aber wie blöde muss man den sein um da seine Numer eingeben ?

Genauso doof wie irgendwelche Informationen per SMS zu versenden ;-)

Das ist wohl tatsächlich eine Sicherheitslücke, die schnellstmöglich behoben werden sollte. Der Grund für die Lücke dürfte sein, das Apple halt alle Funktionen so minimalistisch und einfach wie möglich implementiert, in diesem Fall ist das daneben gegangen...

Was aber auch nervt, dass Apple immer noch nicht alle Features unterstützt, die andere Mobiltelefone immer schon hatten: Ich will auch bei der SMS eine Empfangsbestätigung erhalten, wenn die SMS beim Empfänger angekommen ist. Das ist eine übliche Funktion im Mobilfunkstandard, auf dem iPhone aber nur mit kryptischen Codes beim Versenden einer SMS manuell einschaltbar oder per Jailbreak-App.

Quasi wie bei E-Mail, heißt also nur das man sich bewusst machen muss, dass die Kurzmitteilung auch gefälscht sein kann...

Wenn man sich sicher ist was man macht sollte man damit keinen Ärger haben.

Was mich in Punkto minimalismus mehr nervt ist, dass man unter iOS keine eingehenden Anrufe vom Sperrbildschirm ablehnen kann.

Anrufe beim Sperrbildschirm ablehnen: kurzer Tastendruck des Ausschalttaste!

genauer: einmal ausschaltet = ignorieren. Es klingelt stumm weiter.
zwei mal ausschalter = es wird sofort aufgelegt.

Die Kommentare für diesen Artikel sind geschlossen.