Apple reagiert auf SMS-Sicherheitslücke mit Empfehlung für iMessage

19. August 2012, 12:10
  • Lieber iMessage als SMS - Apples Reaktion auf eine aktuelle Sicherheitslücke.
    grafik: apple

    Lieber iMessage als SMS - Apples Reaktion auf eine aktuelle Sicherheitslücke.

Verweist auf grundlegende Probleme des SMS-Protokolls - Keine Infos zu Sicherheitsupdate

Für einige Diskussionen sorgt derzeit ein vor kurzem bekannt gewordenes Problem im Umgang von iOS mit SMS: Wie ein französischer Sicherheitsexperte herausgefunden hat, lassen sich SMS (über das manuelle Setzen einer Antwortadresse im Header) so manipulieren, dass bei Nachrichten auf dem iPhone eine beliebige Telefonnummer als Absender angezeigt wird. AngreiferInnen könnten dies für Phishing-Attacken nutzen, indem sie sich als eine vertrauenswürdige Person ausgeben, so die Befürchtung.

Reaktion

Nun meldet sich Apple selbst zu Wort, hat aber zumindest vorerst nur einen Ratschlag allgemeiner Natur zu bieten, und der lautet kurz zusammengefasst: Mit iMessage wäre das nicht passiert. Das beschriebene Problem sei nämlich eine direkte Konsequenz eines grundlegenden Defizits des SMS-Protokolls. Beim eigenen Nachrichtenservice sei solch eine Fälschung hingegen nicht möglich, so der iPhone-Hersteller.

Vorsicht

Insofern rät man den eigenen KundInnen bei der Nutzung von SMS besonders vorsichtig zu sein, vor allem, wenn in Nachrichten auf unbekannte Webseiten verlinkt wird. Völlig offen lässt man hingegen, wann und ob eine softwareseitige Lösung für das Problem verfügbar sein wird.

Umsetzung

Der Entdecker des Problems hatte in seinem Blog-Eintrag auch die konkrete Implementation von iOS kritisiert. In einer "guten" Umsetzung würden in so einem Fall beide Telefonnummern angezeigt werden, die "echte" und die "gefälschte" - womit Phishing-Attacken auffliegen würden. (red, derStandard.at, 19.08.12)

Share if you care
Posting 1 bis 25 von 41
1 2
Allgemeimer Ratschlag

ist natürlich viel zu wenig;

„. Völlig offen lässt man hingegen, wann und ob eine softwareseitige Lösung für das Problem verfügbar sein wird.“

Sagen zu können, wann eine Lösung bereitstehn wird, ist zu viel - verlangt, mmn.

Ja genau ...

das SMS-Protokoll existiert ja erst seit knapp 30 Jahren. Das kommt davon, wenn man keine Ahnung von Mobiltelefonen hat, sondern mobile Computer mit Telefonfunktion verkauft.

Das macht allerdings nicht nur Apple so ...

Und das hat Apple tatsächlich geantwortet:

Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they're directed to an unknown website or address over SMS.

Klingt ein bisschen anders, als der Standard hier zu suggerieren versucht und die Bashboys hier wiedereinmal ohne zu denken, nachkauen.

Find ich echt super, wie du in in mittlerweile drei Postings versuchts dem Artikel eine bewusste Falschübersetzung zu unterstellen, obwohl alle anderen KommentatorInnen den oben wiedergegebenen Inhalt bisher 1:1 genau so lesen wie das Apple-Original in Englisch, du es aber gleichzeitig nicht schaffst den angeblichen Unterschied in Worte zu fassen.

Nirgendwo empfiehlt Apple statt SMS iMessage zu verwenden. Es wird erläutert, dass iMessage im Gegensatz zur SMS keine Spoofing-Attacke erlaubt.
Und Apple bittet die Benutzer, bei SMS-Inhalten wie unbekannten Webadresse besondere Vorsicht walten zu lassen.

iOS zeigt nicht nur die Reply To Adresse, sondern schickt die SMS dann auch dorthin. Wie hier also irgendwelche Daten abgefangen werden sollen, erschließt sich mir nicht aus dem Hackerblog.
Das einzige Problem sehe ich im Inhalt einer SMS selbst - ein Link zu einer gefährlichen Webseite zB.

Und selbstverständlich finde ich, dass Apple hier etwas unternehmen muss.

Man sollte nicht bloß die Überschriften lesen, wenn man es auf der anderen Seite soooo genau nimmt

Wo im Artikel(!) wird behauptet, dass Apple empfiehlt, iMessage zu verwenden? Hier steht haargenau das, was Apple geschrieben hat. Und selbstverständlich kann man den Hinweis auf ein Produkt, das ein bestimmtes Problem nicht hat, in einer zusammenfassenden Überschrift auch als Empfehlung bezeichnen.
"Insofern rät man den eigenen KundInnen bei der Nutzung von SMS besonders vorsichtig zu sein, vor allem, wenn in Nachrichten auf unbekannte Webseiten verlinkt wird" steht im Artikel. Und Sie behaupten also, dass "Und Apple bittet die Benutzer, bei SMS-Inhalten wie unbekannten Webadresse besondere Vorsicht walten zu lassen" etwas gänzlich anderes wäre?

Wenn Sie schon so gut Englisch können, scheint's also mit dem Deutsch zu hapern...

Klingt genau so, wie im Artikel beschrieben

Dann würde ich an Ihrer Stelle den Text nochmals lesen und darüber nachdenken.

When using any other phone instead of iPhone...

...people like you won't have to relativate anymore. ;-) Das liest sich ganz genauso wie dieser Artikel nur halt englisch.

Offensichtlich ist also Ihr Englisch nicht ausreichend, um den Unterschied zu verstehen.

Mist...

...hätte ich den 4 Jahren in UK doch lieber nicht so viel Deutsch gesprochen! Ich seh halt nicht überall eine Verschwörung... außer es hat was mit den USA zu tun! :-p Aber passt schon... ist eh ne super Lösung von Apple! :-) Wenn Ähnliches von zB MS käme, na frage nicht, was Sie DA posten täten :-)

Dir ist schon klar, dass das Zitat grade den Artikel zusammengefasst hast und in keiner form einen Widerspruch darstellt.

Mal zwischen zwei Insidern: Du kannst imApplebereich acuh sehr gutes Geld verdienen ohne Apple bis zum Anschlag reinzukriechen.

Apple hat als einziges Entwicklungshaus diesen bug und statt dieses umgehend zu beheben blamieren sie sich auch noch mit so denkbar schlecht platzierter Werbung wie es eigentlich nur irgendwie menschenmöglich ist (als ob der Kapitän der Titanic noch im letzten Moment meinte "Ich hoffe sie hatten Spass mit Star Alliance und freeun uns darauf sie bei ihrer nächsten Schiffahrt wiederzusehen" ;) ). Das ist die objektive Analyse dieser Deppenaktion von Apple.

Wer ist denn dieser Herr Apple, dem man reinkriechen muss? Kennst Du den persönlich?

Soso, pff mies von Apple

das SMS Protokoll zu kritisieren wenn sie selbst ne mangelhafte Implementierung implementiert haben.

iMessage

ich habe ein iPhone, ein iPad und einen iMac. Was ich nicht verstehe: gebe ich meine e-Mail-Adresse ein, sagt mir iMessage "diese wird bereits verwendet". Ich muss also bei drei Geräten drei Adressen angeben. Logik dahinter?

sachdienliche Hinweise werden gerne entgegen genommen.

Kommentare à la "söba schuid, warum vakaufst dei sö an eppl" bitte unterlassen. Danke.

wenn alle 3 Geräte den selben Account verwenden klappt das problemlos, es werden auch alle imessages an alle Geräte geschickt. Ich gehe davon aus das sie jedes Gerät mir einem eigenen Account aktiviert haben und dann ist die email mit dem account fix verbunden.

ich hoffe, ich klinge jetzt nicht obergescheit, aber...

...haben Sie daran gedacht, die Adresse am entsprechenden Gerät zu aktivieren!
Ist mir, als ich noch mit apple gearbeitet hab auch ab und an passiert!
Hoffe, ich habe Ihr Problem richtig verstanden!!

Um iMessage verwenden zu können, muss man eine E-Mail-Adresse eingeben. Wenn man die, die zur ID gehört angibt, funktioniert das beim 1., beim 2. Gerät schon nicht mehr. Da muss es dann eine andere sein, weil die erste schon verwendet wird. Ich frage mich, ob das "in der Natur der Sache" liegt, weil apple sozusagen E-Mails (und keine SMS) versendet?

Also ich kann am iPad und am iPhone die gleiche Emailadresse für iMessages verwenden und erfolgreich aktivieren.
Haben Sie wirklich überall die gleiche Apple-ID im Einsatz? Wenn nicht, dann ist das klar - wenn eine Emailadresse mit einer Apple-ID verbunden wird, kann sie nicht mit einer weiteren ID verwendet werden, was ja auch logisch ist.

Da machen sie was falsch, und iMessages sind keine E-Mails, sondern Apple push notifications (APNS).

Mein Tipp: Fragen sie in einem echten Apple Forum (macuser.de) oder direkt bei Apple nach. Das sollte leicht zu lösen sein.

also ich hab auch iphone, ipad und macbook air.... hab mich bei allen mit meiner apple id angemeldet... funktioniert tadellos... bekomm alle nachrichten auf jedes gerät.... komisch das das bei dir nicht funktioniert.... leider geht halt bei apple auch nicht alles rund... schau mal in foren nach, vielleicht findest dort eine Lösung...

iMessage die Lösung für alle die ausschliesslich Apple user kennen

Leider "vergisst" Apple bei seiner "Empfehlung" das proprietäre iMessage zu verwenden, dass damit die Kommunikation nur unter Apple Besitzern möglich ist und auch dann nur wenn keiner der Kommunikationspartner ein zu "altes" Gerät besitzt.

Vielleicht sollte Apple einen kleinen Teil der Kosten für die Rechtsabteilung wieder in Qualitätskontrolle stecken?

ist doch klar...

...das die iSheeps nicht so weit denken... ;) klar, muss man sich eben ein iPhone kaufen um mit seinen freunden über Nachrichten zu kommunizieren... ok ok... ich hab gehört es gäbe auch Kakao und Whatsapp... und andre... aber wenn das Apple so sagt bleibt uns wohl keine andre Wahl... bevor die uns noch verklagen weil wir alles andre ihre Erfindung abkupfert und wer die Kopie benutzt sich natürlich strafbar macht... aufpassen... bald wird Apple die Samsung User verklagen... ;)

Genauso wie Facetime vorgestellt wurde...super toll wenns nur mit Iphone und nur über Wlan funktioniert. So engstirnig von Apple. Oder warum funktioniert Whatsapp so gut.
Da wurde ja Videotelefonie neu erfunden...in Ö gabs das schon rin ganzes Jahrzehnt zuvor als One auftauchte...und keiner hats genutzt.

Posting 1 bis 25 von 41
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.