In den letzten Tagen verbreitete sich die Meldung des Hackers pod2g, der auf eine vorhandene Sicherheitslücke in iOS hinwies. So ist es laut pod2g möglich sich via SMS als eine vertraute Person auszugeben und dann beispielsweise über eingebundene Links an sensible Daten zu gelangen. Der wahre Absender ist durch den sogenannten User Data Header nicht mehr identifizierbar. Der Sicherheitsexperte Jon Oberheide ist allerdings der Meinung, das diese Lücke nicht nur auf iOS-Geräten sondern auch auf Smartphones anderer Hersteller funktioniert. Apple hat zu der Thematik ein Statement veröffentlicht indem sie die Verantwortung von sich weisen:

 

„Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.“

 

Übersetzung: „ Apple nimmt das Thema Sicherheit sehr ernst. Bei der Verwendung von iMessage anstatt von SMS, werden die Absender verifiziert und der Anwender somit gegen solche Manipulationsattacken geschützt. Eine der Einschränkungen von SMS ist es, dass sie erlaubt Nachrichten mit manipulierten Absendern an jedes Handy zu senden. Deshalb bitten wir unsere Kunden dringend besonders vorsichtig zu sein, falls sie durch einen Link in einer SMS auf eine unbekannte Website weitergeleitet werden.“

 

Allerdings entsteht die Sicherheitslücke nicht durch den SMS-Standard selbst, sondern durch die Software-Implementierung auf dem Telefon selbst. Als Absenderkennung einer SMS wird lediglich die IMSI angegeben und der Rest vom Telefon interpretiert. Demnach hat wohl Apple bei der Implementierung der Features ihrer SMS-Funktion nicht richtig aufgepasst und diese Lücke geschaffen. Im Nachhinein alle Schuld von sich zu weisen und den hauseigenen Dienst zu bewerben ist da vielleicht nicht die beste Lösung.