Sicherheitslücke in der iPhone SMS-App gefunden

Der bekannte iOS-Hacker Pod2g, der entscheidend am iOS 5.0.1 und 5.1.1 untethered Jailbreak witgewirkt hat, hat eine Sicherheitslücke in der SMS-App ausfindig gemacht.

In einem Blogartikel beschreibt er das Problem. Eine SMS, egal mit welchen Anhängen, wird immer als sogenanntes PDU kodiert und dann versendet. Bei modernen Smartphones ist es möglich, die SMS im sogenannten Raw PDU-Format zu senden. Das besondere hierbei ist, dass der Abschnitt namens UDH (User Data Header) besonders leicht aufzufinden und zu verändern ist. In diesem stehen Informationen wie die Absendenummer die das Gerät anzeigt und genau hier ist die Sicherheitslücke.

Ein Krimineller könnte eine den UDH-Abschnitt so verändern, dass das iPhone bei einer eigehenden SMS die Nummer der eigenen Bank anzeigt, die eigentliche Absendenummer aber seine eigene ist. Ein User, der glaubt es wirklich mit der Bank zutun zu haben, schickt seine vertraulichen Daten dann nicht an die Nummer die das iPhone anzeigt, sondern an die des Kriminellen, da die SMS ja eigentlich von ihm kommt.

Apple hat sich gegenüber Engadget zu dieser Sicherheitslücke bereits geäußert.

Im Klartext bedeutet das dass iMessage sicherer ist als der SMS-Verkehr und dass Apple sich nicht um dieses Problem kümmern wird. Ihr müsst also in jedem Fall damit rechnen, dass es über SMS immer zu Betrugsversuchen kommen kann. Diese Erkenntnis ist nicht neu, aber gerade jetzt ist es wichtig, sie in Erinnerung zu rufen. Wenn ihr über eine SMS nach vertraulichen Daten gefragt werdet, solltet ihr in keinem Fall darauf eingehen. Vertrauliche Daten solltet ihr auch nicht über iMessage senden, sondern über ein Telefonat, per Post oder bei einem persönlichen Treffen übermitteln.