News & Gerüchte SMS-Sicherheitslücke von Hacker Pod2g in iOS 5 und 6 entdeckt

[chris]

Der Hacker Pod2g hat eine Sicherheitslücke im SMS-Verkehr mit dem iPhone entdeckt, die eine Menge Schaden anrichten kann, weil sich sehr leicht die Rückantwort-Adresse fälschen lässt. Apple sei bereits unterrichtet, heißt es.

Relativ konkret ist Hacker Pod2g in seinem Blog-Post geworden, als er eine iOS-Sicherheitslücke beschreibt, die für den SMS-Versand relevant ist. Davon betroffen sind derzeit mindestens die aktuelle Version des mobilen Betriebssystems iOS 5 und auch spätere Versionen inklusive der iOS 6 Beta 4.

Rückantwort-Adresse manipulierbar

Er beschreibt den technischen Vorgang wie folgt: Bei der SMS-Kommunikation werden zwischen zwei Telefonen nur ein paar Bytes über das Mobilfunknetz ausgetauscht. Diese Information wird vor dem Versand in eine “Protocol Description Unit” (PDU) konvertiert und dann über das Netzwerk der Mobilfunkanbieter transportiert. Enthalten ist zusätzlich ein Element namens “User Data Header” (UDH). Der UDH sei nur optional, weil nicht alle Mobiltelefone etwas mit den Daten darin anfangen könnten, das iPhone aber in jedem Fall. Darin ist offenbar ein Feld vorhanden, bei dem man so etwas wie die Rückantwort-Adresse einstellen kann. Die meisten Provider, so erklärt Pod2g, würden diesen Bereich einer Text-Nachricht nicht überprüfen. Es sei grundsätzlich möglich, dass man vorgibt die Textmeldung stamme von einer bekannten Nummer, die Antwort würde unbemerkt aber an eine andere Adresse geschickt. Auf diese Weise wird auch beim Phishing mittels E-Mails versucht Personen hereinzulegen.

Beim iPhone wird den Empfängern lediglich die “Antworten an”-Adresse angezeigt und nicht die originale. Laut Pod2g stellt diese Lücke ein realistisches Sicherheitsproblem dar, weil er glaubt, dass neben einer Reihe von weiteren Sicherheitsexperten auch bereits einige “Piraten” davon wüssten.

Quelle: Macnotes

 

[chris]

AW: SMS-Sicherheitslücke von Hacker Pod2g in iOS 5 und 6 entdeckt

Wegen iOS-SMS-Sicherheitslücke schlägt Apple vor, iMessage zu nutzen

Apple hat den Kollegen von Engadget ein Statement zu der Meldung über eine Sicherheitslücke im SMS-System auf dem iPhone gegeben. Kunden werden dazu aufgerufen lieber iMessage zu benutzt als SMS.

Es ist selten genug, dass Apple zu fremd geäußerten Statements in der Öffentlichkeit Stellung bezieht. Vor kurzem hatte der iOS-Hacker Pod2g über Twitter angemerkt, dass er eine Sicherheitslücke beim SMS-Versand über das iPhone ausgefindig gemacht hat. Apple hat nun reagiert, und gegenüber den Kollegen von Engadget betont, dass Nutzer sich vor allem auf iMessage beim Versenden von Kurznachrichten konzentrieren sollen.
Ein bisschen “gebetsmühlenartig” liest sich Apples Statement, das mit den Worten “Apple takes security very seriously” beginnt.
Tatsächlich handelt es sich bei dem Problem nicht um ein Apple-exklusives. Entsprechend ist nicht der Hersteller aus Cupertino “allein” in einer Bringschuld gegenüber seinen Kunden. Doch Apple könnte, wenn man von den durch den SMS-Standard “möglichen” Gefahrenquellen absieht, das Risko minimieren helfen, indem es beispielsweise seine App so anpasst, dass die Nutzer die eindeutige Rücksende-Nummer angezeigt bekämen, oder direkt beide, um vergleichen zu können. Auf anderen Systemen wird das teilweise so gehandhabt.
Neben dem Hinweis auf die Verwendung von iMessage, bei der keine Empfänger-Adresse vorgekauelt werden kann, bleibt Apple nämlich eine Antwort schuldig, ob man eine Lösung vorbereitet oder überhaupt vorbereiten kann.
Kunden sollen vorsichtig sein, wenn Sie SMS verwenden, ist der Ratschlag, den Apple seinen Kunden mit auf den Weg gibt.

Quelle: Macnotes