Apple äußert sich zu Sicherheitslücke bei SMS

[Marc Freudenhammer]

In der vergangenen Woche machten eine Meldung des Hackers pod2g die Runde, in der er auf eine Sicherheitslücke in iOS aufmerksam machte, die auch in der aktuellen Beta von iOS 6 noch vorhanden ist. Laut pod2G könnten Angreifer sich via SMS als eine vertraute Person ausgeben und so beispielsweise über eingebunden Links an sensible Daten gelangen. Durch eine extra eingebundene Antwortadresse (User Data Header) ist es nicht mehr möglich, den wahren Absender herauszufinden. Wie der Sicherheitsexperte Jon Oberheide gegenüber Ars Technica äußerte, betrifft diese Sicherheitslücke aber nicht nur iPhone und Co., sondern auch die Smartphones anderer Hersteller. In einem an Engadget gerichtetes Statement weist Apple die Verantwortung für dieses Problem von sich. Nutzer sollten sich lieber auf das hauseigene iMessage verlassen, als auf SMS.[PRBREAK][/PRBREAK]

Apples Stellungnahme im Original:

„Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they're directed to an unknown website or address over SMS.“

 

[iStationär]

Weil auch jeder ein iPhone mit iOS 5 hat - gut das die Frage somit perfekt beantwortet wurde.

 

[AppleWorm²]

Man soll sich lieber auf iMessage verlassen? Also quasi "Gated Community". Klasse Apple, Top !

 

[GREYAchilles]

Es gibt doch auch spoof apps im Appstore, wie scheinheilig ist datt denn ?


MfG Pascal

 

[Abendschnee]

Wie borniert kann man sein?

SMS funktioniert mit allen Herstellern, iMessage NUR mit Apple Geräten! DAS sieht Apple wohl nicht?

Warum verhindert Apple nicht einfach die Anzeige dieser zusätzlichen Adresse? Wer braucht die wirklich?

 

[Martin Wendel]

Wenn ich das richtig verstehe, liegt das Problem am SMS-Dienst und nicht an iOS, am iPhone oder an Apple. SMS ist ein unsicherer und alter Mobilfunk-Standard, an dem Apple nicht einfach mal etwas ändern kann. Ansonsten wäre wohl auch die Kompatibilität zu anderen Modellen gefährdet. Und eine iOS-only Lösung gibt es ja schon - iMessage. Vermutlich handelt es sich dabei um eine "Sicherheitslücke", die schon seit Urzeiten des Mobilfunks besteht und auch mit allen möglichen Handy-Modell-Urgesteinen.

 

[MBSoft]

Weil auch jeder ein iPhone mit iOS 5 hat - gut das die Frage somit perfekt beantwortet wurde.

....ok, aber Du kannst Dich auch nicht bei Apple beschweren, wenn Deine Freundin Dich abserviert hat, nur weil die Nachricht auf Dein iPhone kam, oder ?

 

[deloco]

Hm... Wayne interessiert's?
Wer nutzt denn noch wirklich SMS?
Kaum noch jemand oder?
Nach Möglichkeit nutzen die Leute doch nur noch What's app, oder eben iMessage (oder in meinem Fall noch Skype, AIM, Jabber, GoogleTalk und ICQ).
SMS verschicke ich nur, wenn ich mal mit jemandem korrespondieren muss, den ich eigentlich nicht kenne und dieser eben kein iPhone hat und in keinem anderen Dienst verrtreten ist. Das kommt äußerst selten vor...
Ich verstehe Apples Meinung da. Sie sagen auch nicht, dass man ja iMessage nutzen soll, sondern dass iMessage gegen solche Angriffe abgesichert ist und deswegen sicherer als SMS. Im englischen Statement steht sonst nix, also mal Ball flach halten, Apple sagt nicht: "Nutzt besse iMessage" sondern "iMessage haben wir gegesolche Angriffe gesichert". Das sind völlig verschiedene Aussagen.

 

[smoe]

Hm... Wayne interessiert's?
Wer nutzt denn noch wirklich SMS?
Kaum noch jemand oder?

Täusch dich da mal nicht, es werden immer noch Unmengen an SMS von einer Unmenge an Menschen verschickt. Es mag vielleicht in Zukunft immer mehr abnehmen, aber noch ist die SMS ein sehr verbreiteter Kanal.

 

[Scotch]

Wenn ich das richtig verstehe, liegt das Problem am SMS-Dienst und nicht an iOS, am iPhone oder an Apple. SMS ist ein unsicherer und alter Mobilfunk-Standard, an dem Apple nicht einfach mal etwas ändern kann.

Das Problem hat nichts mit dem SMS-Standard zu tun, sondern einzig und alleine mit der Implementation von SMS-Readern auf Telefonen. Diese packen alle möglichen Funktionen ein, um SMS zu interpretieren, so dass man auf links klicken kann, Telefonnummern direkt anrufen kann, die Absendernummer direkt Kontakten aus dem Adressbuch zugeordnet werden, so dass statt Telefonnummern Namen erscheinen usw. In einer SMS steht als Absenderkennung lediglich die IMSI - den Rest interpretiert Software auf dem Telefon dazu. Wenn also eine SMS mit Absendername von jemandem erscheint, den man nicht im Telefonbuch hat, sollten die Alarmglocken klingeln.

Kurz gesagt: Apple (wie anscheinend andere auch) hat bei der Implementation der "Features" ihrer SMS Applikationen geschlampt und die Tatsache, dass ob der Komfortfunktionen Benutzer den SMS-Applikationen immer weitergehende Rechte einräumen (bzw. einräumen müssen - bei den vorinstallierten Applikationen wird man ja nicht gefragt) hilft da nicht weiter.

Die Reaktion von Apple ist also in hohem Maße unprofessionell, gefährdet die Nutzer von iPhones und zeigt einmal mehr, mit welch unglaublicher Arroganz mit Sicherheitslücken umgegangen wird.

 

[Tidus2007]

Hm... Wayne interessiert's?
Wer nutzt denn noch wirklich SMS?
Kaum noch jemand oder?
Nach Möglichkeit nutzen die Leute doch nur noch What's app, oder eben iMessage (oder in meinem Fall noch Skype, AIM, Jabber, GoogleTalk und ICQ).
SMS verschicke ich nur, wenn ich mal mit jemandem korrespondieren muss, den ich eigentlich nicht kenne und dieser eben kein iPhone hat und in keinem anderen Dienst verrtreten ist. Das kommt äußerst selten vor...
Ich verstehe Apples Meinung da. Sie sagen auch nicht, dass man ja iMessage nutzen soll, sondern dass iMessage gegen solche Angriffe abgesichert ist und deswegen sicherer als SMS. Im englischen Statement steht sonst nix, also mal Ball flach halten, Apple sagt nicht: "Nutzt besse iMessage" sondern "iMessage haben wir gegesolche Angriffe gesichert". Das sind völlig verschiedene Aussagen.

Sollte man meinen, ist aber leider nicht so. In meinem Freundes- u. Bekanntenkreis gibt es noch massen an Leuten die SMS verschicken. Mir tun dann immer die 9cent weh da ich wegen 5-10 SMS im Monat durch die paar Leute keine Flat brauche. Aber ich kann sie ja nicht dazu drängen ein Smartphone zu kaufen

 

[Kappa]

Hm... Wayne interessiert's?
Wer nutzt denn noch wirklich SMS?
Kaum noch jemand oder?
Nach Möglichkeit nutzen die Leute doch nur noch What's app, oder eben iMessage (oder in meinem Fall noch Skype, AIM, Jabber, GoogleTalk und ICQ).

Ist das so?
Bevor ich 10 verschiedene Dienste nutzen muss um mit meinen Kontakten zu kommunizieren, greife ich viel lieber auf SMS zurück. Da weiß ich, dass sie jeder empfangen kann und da mittlerweile so gut wie jeder eine Flatrate hat, ist die SMS doch das Kommunikationsmittel für Kleinigkeiten in meinem Umfeld.

Und wie sicher iMessage, What's app und Konsorten sind, zeigt sich auch regelmäßig.

 

[Martin Wendel]

@ Scotch: Danke für die Info!

 

[Balkenende]

--> Hier hat Scotch schon alles gesagt, sehr gut.

Ich finde genau deswegen Apples Reaktion ansatzweise überheblich.

 

[avalon2]

Apple = Dilettanten
Was soll der Hinweis auf den überflüssigen iMessage Dienst?

 

[Mitglied 129448]

Ich kann die Reaktion Apples zwar auch nicht verstehen, denn die angebotene "Lösung" ist erstens keine und zweitens auch leicht am Problem vorbei!

Dennoch... ich sehe das Problem nicht! Ebenso wie bei einer Email, einem Telefonanrufen oder auch einem Brief kann man nicht davon ausgehen, das der Absender/Anrufer auch der ist, der er behauptet zu sein. Hierbei ist die grösste Sicherheitslücke mal wieder der Nutzer selbst, welcher dazu gebracht wird seine sensiblen Daten ohne vorher mal darüber Nachzudenken einfach auf Verlangen einer unseriösen, anfragenden Partei mitzuteilen. Eine technische Lücke ist es, aber schwerwiegend wird es eher durch den verantwortungslosen Nutzer.​

 

[eichyl]

So einfach ist es aber auch nicht. Wie soll der Nutzer erkennen an wen er antwortet, wenn er dessen Nummer nicht sehen kann? Du hast ja nur einen Button mit Antworten.

 

[TexanSteak]

Macht's doch so, wie der User, der hier mal meinte, er sucht sich seine Freunde danach aus, wer ein iphone hat
(meiner Meinung nach der absolute Bodengrund, den man damit im Umgang mit Menschen erreichen kann)
Nein, ich nutze auch sehr viel sms, weil halt nun mal Apple und iphone nicht die Welt sind (gottseidank).
Selbst bei Leuten mit iphone nutze ich sms, weil ich einfach alles übersichtlich unter einem Hut haben und nicht verschiedene Dienste für verschiedene Leute nutzen möchte. Die Welt ist konfus genug.

 

[robinsbegin]

Täusch dich da mal nicht, es werden immer noch Unmengen an SMS von einer Unmenge an Menschen verschickt. Es mag vielleicht in Zukunft immer mehr abnehmen, aber noch ist die SMS ein sehr verbreiteter Kanal.

Dazu braucht man sich nur mal sie Zahlen zu New Year anschauen.

 

[Mitglied 129448]

So einfach ist es aber auch nicht. Wie soll der Nutzer erkennen an wen er antwortet, wenn er dessen Nummer nicht sehen kann? Du hast ja nur einen Button mit Antworten.

Wem will er denn auf die Frage nach Bankverbindung und TAN oder Loginname und Passwort antworten? Wer Deiner Bekannten fragt das per SMS bei Dir ab? Diese Sicherheitslücke wird wenn überhaupt ausgenutzt um sensible Daten zu erhalten und nicht um Dir deine favorisierte Eissorte zu entlocken. Und mit dem Wissen das seriöse Unternehmen so nicht vorgehen, läuft auch dieser "Angriff" ins Leere.