Sicherheitslücke Gefälschte SMS bedrohen Smartphone-User

Eine Sicherheitslücke bei SMS könnte zum Problem für User werden: Sie können nicht überprüfen, an wen ihre Antwort eigentlich geschickt wird, zum Beispiel an teure Sondernnummern. In einem Statement bestätigt Apple das Problem - und verweist auf eigene Angebote.

Von Hakan Tanriverdi

Und ab geht die Post: Nur, an wen eigentlich?
AP

Und ab geht die Post: Nur, an wen eigentlich?


Wer SMS-Textnachrichten mit dem Smartphone verschickt, sollte aufpassen, dass er nicht auf Betrüger reinfällt. Die Technologie enthält eine Sicherheitslücke, die es ermöglicht, SMS-Nachrichten zu manipulieren. Wie der Programmierer Cyril Cattiaux kürzlich in seinem Blog "pod2g" erklärte, kann eine SMS-Nachricht so konfiguriert werden, dass die Antwort an eine andere Nummer geschickt wird - ohne dass der Absender davon etwas mitbekommt.

Der Ernstfall könnte so aussehen: Man erhält eine SMS von seiner Bank mit der Bitte, alle relevanten Daten zu nennen, also Name, Kontonummer und das dazugehörige Passwort. Die Nummer der Bank als Absender wurde gefälscht. Die Antwort geht aber nicht zurück an diese Nummer, sondern an eine andere Person - zum Beispiel Gauner, die sich mit den Informationen dann einloggen und das Konto leerräumen können. Viel simpler sind Schummel-SMS, welche die Antworten an teure Sonderrufnummern umleiten. Den Betrug bemerkt man in solchen Fällen erst, wenn die Telefonrechnung kommt.

Die Sicherheitslücke, die solche Tricks ermöglicht liegt im sogenannten "User Data Header"-Bereich (UDH) von SMS-Nachrichten. Dieser kann nicht von allen Geräten ausgelesen werden, von Smartphones in der Regel aber schon. Cyril Cattiaux zufolge sei das beim iPhone-Betriebssystem seit Einführung der SMS-App so.

"SMS ist als solches kein sicheres Medium"

In den UDH kann man eine andere Nummer eingeben als die, von der man die SMS verschickt. Der Nutzer kriegt davon nichts mit, überprüfen kann er es auch nicht. "Beide Nummern müssten zu sehen sein," fordert Cattiaux, "sowohl die Nummer, von der die SMS kommt, als auch die Nummer, an die eine Antwort geschickt wird."

Grundsätzlich ist die Möglichkeit, SMS zu fälschen, nicht neu, seit 2007 gibt es Berichte über solche Methoden, die als SMS-Spoofing bezeichnet werden. Sich dagegen zu schützen ist für den Normalnutzer so gut wie nicht möglich, sagt Toralv Dirro, Sicherheitsexperte beim Softwarehersteller McAfee: "SMS ist als solches kein sicheres Medium. Sie werden von einem Netz zum nächsten, teilweise quer durch die Welt, weitergeleitet, von Anbieter zu Anbieter." Nur der erste davon könne überprüfen, ob hier getrickst wird. "Alle späteren Anbieter müssen glauben, was bei ihnen ankommt", so Dirro weiter. Und jetzt wird zusätzlich noch kaschiert, an wen die Antwort gesendet wird.

Alles, was man tun kann, wäre nur noch SMS von Absendern zuzulassen, die bereits im Adressbuch gespeichert sind, sagt Marco Preuss, Viren-Analyst beim Softwarehersteller Kaspersky Lab. Aber erstens erhält man dann überhaupt keine anderen SMS mehr, und zweitens stellt auch das nur einen geringen Schutz dar: "Wenn jemand eine Nummer aus dem Adressbuch kennt, dann hilft auch das nichts", sagt Preuss. Auch bei SMS gilt also: Am besten keine schützenswerten Daten verschicken.

"Stell dir vor: Ich bin schwanger!"

Aber nicht immer wird die Verschleierungstechnik für kriminelle Machenschaften genutzt. Die ursprüngliche Idee vieler Hacker, Freunden und Bekannten per SMS-Spoofing Streiche zu spielen, hat sich bis heute gehalten. Eine genau dafür entwickelte iPhone-App wirbt so für ihre Fähigkeiten: "Du kannst Deine Freunde glauben lassen, Du seist deren Mutter/Boss/Freundin/wer auch immer. Schick Ihnen einfach eine SMS-Nachricht mit dieser App." Im App Store bekommt man diese App allerdings nicht, sie verstößt gegen Apples Nutzungsrichtlinien.

Der US-Konzern seinerseits reagierte schnell auf die Meldung von Cyril Cattiaux. In einem Statement gegenüber dem Technik-Blog "Engadget" bestätigte das Unternehmen die Sicherheitslücke und schrieb weiter, dass dies ein grundsätzliches Problem von SMS sei und nicht ausschließlich auf Apple-Produkte zutreffe. Der eigene Dienst, iMessage, sei gegen solche Attacken abgesichert.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
Seite 1
thseeling 22.08.2012
1. gegenmaßnahme
offensichtlich gibt es hier ein Problem in der SMS-App: sie zeigt keine Warnung an, wenn (in email-Begriffen) From: und Reply-To: nicht identisch sind. Offensichtlich kann man das Reply-To: mit bestimmten Werkzeugen fälschen und damit z.B. kostenpflichtige SMS generieren. Die Gegenmaßnahme ist einfach: die SMS-App müsste From: und Reply-To: vergleichen und bei Differenzen eine Warnung ausgeben verbunden mit der Option, entweder abzubrechen, an Reply-To: zu schicken oder ein Senden an From: zu erzwingen. Fertig.
Eurofatzke 22.08.2012
2. Apple und SPON
Zitat von sysopAPEine Sicherheitslücke bei SMS könnte zum Problem für User werden: Sie können nicht überprüfen, an wen ihre Antwort eigentlich geschickt wird, zum Beispiel an teure Sondernnummern. In einem Statement bestätigt Apple das Problem - und verweist auf eigene Angebote. http://www.spiegel.de/netzwelt/apps/0,1518,850950,00.html
Verstößt es gegen den Werbevertrag von SPON und Apple gleich in der Überschrift klarzustellen, dass es sich hier um das IPhone handelt? Statt dessen muss ich mir hier irgendein Geschwafel über Smartphones durchlesen. Jaja, auch an Apple ist nicht alles toll.
daskänguru 22.08.2012
3. Optional
Zitat von thseelingoffensichtlich gibt es hier ein Problem in der SMS-App: sie zeigt keine Warnung an, wenn (in email-Begriffen) From: und Reply-To: nicht identisch sind. Offensichtlich kann man das Reply-To: mit bestimmten Werkzeugen fälschen und damit z.B. kostenpflichtige SMS generieren. Die Gegenmaßnahme ist einfach: die SMS-App müsste From: und Reply-To: vergleichen und bei Differenzen eine Warnung ausgeben verbunden mit der Option, entweder abzubrechen, an Reply-To: zu schicken oder ein Senden an From: zu erzwingen. Fertig.
Wenn man keine Ahnung hat. Einfach mal die F.. 1. Es ist kein Apple Problem 2. Es ist keine Sicherheitslücke. Es ist ein Komfortfeature das so ausdrücklich in der Spezifikation steht. Genau wie bei Email ist es manchmal erwünscht das der Versender nicht der Empfänger des Reply ist. 3. Das gab es schon beim alten FAX das könnte man auch den Sender verschleiern. 4. Jeder Depp der Passwörter per SMS oder Email verschickt würde das auch per Brief machen. 5. Teure Nummern kann man einfach beim Provider sperren lassen.
bugmenot1984 22.08.2012
4. Es gibt also zwei Nummern
Der Relevante Satz ist folgender: ---Zitat--- In a good implementation of this feature, the receiver would see the original phone number and the reply-to one. On iPhone, when you see the message, it seems to come from the reply-to number, and you loose track of the origin. *Quelle:* pod2g's iOS blog: Never trust SMS: iOS text spoofing (http://www.pod2g.org/2012/08/never-trust-sms-ios-text-spoofing.html) ---Zitatende--- Es gibt also zwei Nummern. Eine vom Absender fälschbare "Rückrufnummer" im SMS-Header und eine, wie ich annehme, von der Telefongesellschaft weitergeleitete "originale" Nummer. Das wurde mir aus dem Artikel nicht klar. Warum die im Gerät installierte Standardapplikation für SMS-Dienste nicht die vertrauenswürdige Nummer anzeigt und auswertet, bzw. es nicht dahingehend geändert wird ergibt für mich zunächst keinen Sinn. Ist es denn nicht möglich eine SMS-Applikation zu schreiben, die ausschließlich die vertrauenswürdigere Rufnummer berücksichtigt?
chinataxi 22.08.2012
5. apple
Zitat von sysopAPEine Sicherheitslücke bei SMS könnte zum Problem für User werden: Sie können nicht überprüfen, an wen ihre Antwort eigentlich geschickt wird, zum Beispiel an teure Sondernnummern. In einem Statement bestätigt Apple das Problem - und verweist auf eigene Angebote. http://www.spiegel.de/netzwelt/apps/0,1518,850950,00.html
kann das teuerste smartphone aller zeiten nicht auch sicher sein? warum wirft apple nicht konsequenterweise den veralteten dienst sms raus? boom.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.