Entdeckt wurde die Lücke durch den Blogger "Pod2g", der iOS-Nutzer nun davor warnt, sensible Daten per SMS weiterzugeben. Apple wies die Kritik als einseitig zurück.

iPhone zeigt Zieladresse bei SMS nicht an

Grundlage für den Hack ist eine Schwachstelle im SMS-Protokoll "User Data Header", die es erlaubt, die Zieladresse bei einer SMS so abzuändern, dass sie nicht mehr mit der Absenderadresse übereinstimmt. Problematisch ist das, weil das iPhone nicht anzeigt, an welche Nummer eine SMS versandt wird, wenn der Nutzer eine Antwort erstellt. Dadurch wird es Angreifern ermöglicht, Nachrichten von vertrauenswürdigen Nummern zu schicken, sensible Daten anzufordern und die Antwort anschließend an eine andere Nummer weiterzuleiten. Als Beispiel nennt Pod2g Nachrichten von einer Bank, in der Kontoinformationen des Kunden abgefragt werden.

Apple: Lücke auch bei anderen Smartphones zu finden

Laut dem Sicherheitsexperten sind Nutzer aller iOS-Versionen seit der Veröffentlichung des ersten iPhones betroffen. Er fordert Apple deshalb auf, das Problem bis zum Release von iOS 6 zu beheben. In einer ersten Reaktion ging der kalifornische Elektronikkonzern nicht auf diese Forderung ein, bestätigte das Problem aber und empfahl Nutzern, auf das in iOS implementierte "iMessage" zurückzugreifen. Gleichzeitig stellte man klar, dass nicht nur das iPhone, sondern eine ganze Reihe von Smartphones und Handys betroffen sind.

Pod2g bestreitet dies nicht, führt die Sicherheitslücke aber unter anderem auf eine unsaubere Implementation der SMS-Funktion zurück. Bei korrekter Integration würde dem Nutzer sowohl die Absender als auch die Empfängernummer angezeigt. Die Phishing-Attacke wird so um einiges erschwert.