• Rolf Klein
• July 06,2022

Mit Hilfe einer Lücke in iOS können Angreifer den Absender einer SMS so manipulieren, dass der Empfänger denkt, die Kurznachricht käme von einer bekannten Person. Der Fehler, welcher auch in aktuellen Betas von iOS 6 vorhanden sein soll, wurde am Freitag vom Hacker pod2g veröffentlicht.

iOS

In seinem Blog (via Ars Technica ) geht der Hacker auf die technischen Details des Problems ein. Vereinfacht beschrieben lassen sich in SMS-Nachrichten Angaben ähnlich zum Reply-To-Feld (Antworten an) einer E-Mail setzen, welche von einigen Telefonen ausgelesen werden. Viele Mobilfunkanbieter überprüfen dieses Feld nicht, so dass sich die Lücke für einen Angreifer öffnet.

Ein Angreifer könnte hier beispielsweise eine Notrufnummer, Telefonnummer einer Bank oder die einer anderen Person hinterlegen. Das iPhone zeigt nicht beide Nummern, sondern nur eine an. Sollte die Antwort-Adresse im User Data Header (UDH) einer SMS angegeben sein, zeigt Apples Smartphone lediglich diese an. Die Nummer des ursprünglichen Absenders bleibt versteckt.

Im Web gibt es laut pod2g einige Anbieter, die Kurznachrichten mit diesem Feature versenden können. Der Hacker selbst will ebenfalls in Kürze eine App für das iPhone 4 veröffentlichen.

Die Lücke kann etwa dazu ausgenutzt werden, dass ein Angreifer den Kunden einer Bank zu einer gefälschten Webseite führt, um dort die Login-Daten auszuspähen.

Einer SMS auf dem iPhone sollte man also bis auf Weiteres nicht vertrauen. In der Regel bitten Banken ihre Kunden nicht per SMS dazu, sich bei ihnen einzuloggen. Der Sicherheitsexperte Jon Oberheide sagte Ars Technica, dass derartige Probleme nicht nur bei Apples Smartphone zu finden seien.

>>> Jetzt die GIGA-App für iPhone, iPad und iPod touch kostenlos laden