Die vergangene Woche vom Hacker „pod2g“ gemeldete SMS-Spoofing-Lücke beschränkt sich auf iOS. AdaptiveMobile hat weiter zu dem Problem geforscht und kommt zu dem Schluss, dass sich untergeschobene Texte und Phishing-Angriffe auf dem iPhone deutlich schwerer entdecken lassen als auf Mobilgeräten mit anderem Betriebssystem.
Der Unterschied besteht darin, dass nur iOS ein Feld für „Antworten an“ zeigt, das sich missbrauchen lässt, um eine andere als die tatsächliche Absendernummer ins Blickfeld des Anwenders zu bringen. „Wir haben das unter Android, Windows Phone, BlackBerry und Symbian getestet, und die meisten ignorieren die ‚Antwort-Adresse‘ einfach oder zeigen – wie in der Spezifikation vorgesehen beide Adressen an“, schreibt Cathal McDaid in einer Mail an News.com.
„Das iPhone ist das bisher einzige Gerät, das sich nicht an die Sicherheitsempfehlungen hält. Apple hat somit eine bedeutende Schwachstelle in seinen Telefonen, mit der sich Nutzer hereinlegen lassen könnten, um etwa persönliche Daten an Hacker und Kriminelle zu senden.“ AdaptiveMobile schließt sich somit voll der ursprünglichen These von „pod2g“ an.
Das Reply-to-Feld sei eigentlich für Werbebotschaften gedacht gewesen, um Antworten an eine nur für den Versand gedachte Rufnummer zu vermeiden, schreibt Daid. Heute sei es aber üblich, dass Handys das Feld ignorierten.
Apple hatte auf Nachfragen nicht direkt reagiert, sondern der unsicheren SMS-Technik selbst die Schuld gegeben. Das Problem gäbe es gar nicht, wenn jeder iMessage verwenden würde.
[mit Material von Eric Mack, News.com]
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.