Apples Chat-Dienst iMessage ermöglicht bereits seit iOS 5 den kostenfreien Versand von Nachrichten über Datendienste und ist in Apples mobilen Betriebssystem integriert

© Jakob Steinschaden

Security
08/19/2012

SMS-Schwachstelle im iPhone entdeckt

Eine Lücke in Apples mobilem Betriebssystem iOS kann von Angreifern für Phishing-Attacken missbraucht werden. Davor warnt der Betreiber des Sicherheitsblogs pod2g in einem aktuellen Beitrag. Da die SMS-Applikation automatisch die optional auswählbare Antwort-Nummer als Absender anzeigt, könnten User in die Irre geführt werden.

Wie pod2g in seinem Blogbeitrag ausführt, kann das für SMS verwendete PDU-Protokoll ähnlich wie bei E-Mailprogrammen dazu verwendet werden, dass neben der tatsächlichen Absendernummer auch eine „Reply to“-Nummer, also die Nummer, an welche die Antwort-SMS zurückgehen soll, hinterlegt wird. Apple unterstützt dieses Feature seit Anbeginn – das Problem ist laut pod2g jedoch, dass iOS automatisch die„Reply to“-Nummer als Absender anzeigt.

Phishing-Attacke möglich
Im Normalfall ist das kein Problem, da ja die Absendernummer mit der „Reply to“-Nummer ident ist, zumal diese optionale Funktion bislang im SMS-Bereich nicht verbreitet und auch kaum bekannt ist. Angreifer könnten diesen Umstand allerdings ausnützen, indem sie vorgaukeln, eine bekannte Kontaktperson oder auch die Bank des iPhone-Inhabers zu sein und so diesen zum Ausplaudern von privaten Informationen zu veranlassen. Denkbar sei auch, dass User über diesen Weg auf eine Phishing-Webseite gelockt werden, einfach weil sie dem vorgetäuschten SMS-Absender trauen.

Apple: "SMS ist unsicher, iMessage ist sicher"
Um seiner Forderung an Apple, die Schwachstelle zu schließen, mehr Nachdruck zu verleihen, will pod2g in Kürze ein konzeptionelles Tool veröffentlichen, mit dem derartig manipulierte SMS aufgesetzt werden können. In einer Stellungnahme gegenüber Engadget meinte Apple nur, dass SMS seit jeher mit gefälschten Absendernummer versendet werden können und wies im gleichen Atemzug daraufhin, dass das zwischen iOS-Geräten verwendete eigene System iMessage von diesem Schwachpunkt nicht betroffen sei.

Mehr zum Thema

  • US-Justizministerium: iPhone kaum zu knacken
eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.