[thseeling]

offensichtlich gibt es hier ein Problem in der SMS-App: sie zeigt keine Warnung an, wenn (in email-Begriffen) From: und Reply-To: nicht identisch sind.
Offensichtlich kann man das Reply-To: mit bestimmten Werkzeugen fälschen und damit z.B. kostenpflichtige SMS generieren.

Die Gegenmaßnahme ist einfach: die SMS-App müsste From: und Reply-To: vergleichen und bei Differenzen eine Warnung ausgeben verbunden mit der Option, entweder abzubrechen, an Reply-To: zu schicken oder ein Senden an From: zu erzwingen. Fertig.

[Eurofatzke]

Eine Sicherheitslücke bei SMS könnte zum Problem für User werden: Sie können nicht überprüfen, an wen ihre Antwort eigentlich geschickt wird, zum Beispiel an teure Sondernnummern. In einem Statement bestätigt Apple das Problem - und verweist auf eigene Angebote.

Sicherheitslücke ermöglicht Phishing per SMS Apple warnt Kunden davor - SPIEGEL ONLINE

Verstößt es gegen den Werbevertrag von SPON und Apple gleich in der Überschrift klarzustellen, dass es sich hier um das IPhone handelt? Statt dessen muss ich mir hier irgendein Geschwafel über Smartphones durchlesen. Jaja, auch an Apple ist nicht alles toll.

[daskänguru]

offensichtlich gibt es hier ein Problem in der SMS-App: sie zeigt keine Warnung an, wenn (in email-Begriffen) From: und Reply-To: nicht identisch sind.
Offensichtlich kann man das Reply-To: mit bestimmten Werkzeugen fälschen und damit z.B. kostenpflichtige SMS generieren.
Die Gegenmaßnahme ist einfach: die SMS-App müsste From: und Reply-To: vergleichen und bei Differenzen eine Warnung ausgeben verbunden mit der Option, entweder abzubrechen, an Reply-To: zu schicken oder ein Senden an From: zu erzwingen. Fertig.

Wenn man keine Ahnung hat. Einfach mal die F..
1. Es ist kein Apple Problem
2. Es ist keine Sicherheitslücke. Es ist ein Komfortfeature das so ausdrücklich in der Spezifikation steht. Genau wie bei Email ist es manchmal erwünscht das der Versender nicht der Empfänger des Reply ist.
3. Das gab es schon beim alten FAX das könnte man auch den Sender verschleiern.
4. Jeder Depp der Passwörter per SMS oder Email verschickt würde das auch per Brief machen.
5. Teure Nummern kann man einfach beim Provider sperren lassen.

[bugmenot1984]

Der Relevante Satz ist folgender:

In a good implementation of this feature, the receiver would see the original phone number and the reply-to one. On iPhone, when you see the message, it seems to come from the reply-to number, and you loose track of the origin.
Quelle: pod2g's iOS blog: Never trust SMS: iOS text spoofing

Es gibt also zwei Nummern. Eine vom Absender fälschbare "Rückrufnummer" im SMS-Header und eine, wie ich annehme, von der Telefongesellschaft weitergeleitete "originale" Nummer. Das wurde mir aus dem Artikel nicht klar.

Warum die im Gerät installierte Standardapplikation für SMS-Dienste nicht die vertrauenswürdige Nummer anzeigt und auswertet, bzw. es nicht dahingehend geändert wird ergibt für mich zunächst keinen Sinn.
Ist es denn nicht möglich eine SMS-Applikation zu schreiben, die ausschließlich die vertrauenswürdigere Rufnummer berücksichtigt?

[chinataxi]

Eine Sicherheitslücke bei SMS könnte zum Problem für User werden: Sie können nicht überprüfen, an wen ihre Antwort eigentlich geschickt wird, zum Beispiel an teure Sondernnummern. In einem Statement bestätigt Apple das Problem - und verweist auf eigene Angebote.

Sicherheitslücke ermöglicht Phishing per SMS Apple warnt Kunden davor - SPIEGEL ONLINE

kann das teuerste smartphone aller zeiten nicht auch sicher sein? warum wirft apple nicht konsequenterweise den veralteten dienst sms raus?

boom.

[mmueller60]

Verstößt es gegen den Werbevertrag von SPON und Apple gleich in der Überschrift klarzustellen, dass es sich hier um das IPhone handelt? Statt dessen muss ich mir hier irgendein Geschwafel über Smartphones durchlesen. Jaja, auch an Apple ist nicht alles toll.

Das Gegenteil ist der Fall - hier wird völlig unnötigerweise auf das iPhone verwiesen, obwohl kein anderes Telefon sich da anders verhält in Bezug auf diese "Sicherheitslücke".

[khaja]

Der Relevante Satz ist folgender:


Es gibt also zwei Nummern. Eine vom Absender fälschbare "Rückrufnummer" im SMS-Header und eine, wie ich annehme, von der Telefongesellschaft weitergeleitete "originale" Nummer. Das wurde mir aus dem Artikel nicht klar.

Warum die im Gerät installierte Standardapplikation für SMS-Dienste nicht die vertrauenswürdige Nummer anzeigt und auswertet, bzw. es nicht dahingehend geändert wird ergibt für mich zunächst keinen Sinn.
Ist es denn nicht möglich eine SMS-Applikation zu schreiben, die ausschließlich die vertrauenswürdigere Rufnummer berücksichtigt?

Nein. Denn die Spezifikation sieht sowas nicht vor. Stellen Sie sich das wie ein Formular vor, bei welchem man nichts außerhalb der Formularfelder ergänzen darf. Und bei dieser Spezifikation wird die Sendernummer nun mal vom Sender selbst gesetzt.

SMS ist aber generell unsicher und auch nicht unbedingt zuverlässig, da eigentlich auch keine Garantie besteht, dass die SMS ankommt...

[spatenheimer]

1. Es ist kein Apple Problem

Also die verlinkte Quelle spricht von "iOS text spoofing" - insofern ist durchaus Apple betroffen.

[spatenheimer]

Das Gegenteil ist der Fall - hier wird völlig unnötigerweise auf das iPhone verwiesen, obwohl kein anderes Telefon sich da anders verhält in Bezug auf diese "Sicherheitslücke".

Die Quelle ist nunmal ein Blog über iOS-Security, da ist es nur logisch auf das iPhone zu verweisen.