Eins vorweg: wenn ich eine E-Mail oder eine SMS erhalte, die von einer Bank kommt und mich zum Aufrufen einer Seite auffordert, dann klingeln eh die Alarmglocken. Grundsätzlich sollte man immer in Betracht ziehen – gerade bei so einer Nachricht – dass es sich hier um einen falschen Absender handeln könnte.
Der Hacker Pod2g ist nun auf eine Sicherheitslücke beim iPhone gestoßen, welches das Vorgaukeln einer falschen Telefon-Nummer beim Versenden einer SMS zur leichtesten Übung macht.
Das unter iOS 5 und iOS 6 verwendete Protokoll gibt euch die Möglichkeit, eine andere Telefonnummer anzugeben, wenn ihr wünscht, dass die Antwort auf eure SMS an ein anderes Gerät bzw eine andere Nummer gehen soll. Dummerweise sieht der Empfänger eurer SMS nicht, ob es sich hier nun um die Absender-Nummer handelt oder um die reply-to-Nummer. Betrügereien wie Phishing ist somit Tür und Tor geöffnet – Grund genug für den Hacker, sich damit direkt an Apple zu wenden und darauf aufmerksam zu machen.
Apple reagierte dann schließlich auch und bestätigte zumindest die Unsicherheit generell der SMS. Stattdessen sollen iPhone-Besitzer doch lieber den wesentlich sicheren Service iMessage verwenden, da die Absender dort allesamt verifiziert sind. Apples Aussage im Wortlaut:
Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.
Ich hätte mir hier schon von Apple gewünscht, dass man an der Sicherheit der SMS ein wenig herumschraubt, aber nach dieser Aussage mit Verweis auf iMessage wäre es wohl vergebliche Liebesmüh, darauf zu hoffen.
Immer auf dem Laufenden bleiben? Dann abonniere unseren RSS-Feed!
