Kürzlich wurde eine Sicherheitslücke im SMS-Protokoll von iOS bekannt, wonach die Angabe einer gefälschten Absenderkennung beim iPhone problemlos möglich ist.

Wie ein Hacker herausgefunden hat, ist es möglich, den Header einer SMS derart zu manipulieren, dass dort statt der eigentlichen Absenderadresse (also der Rufnummer) eine beliebige Antwortadresse eingetragen werden kann. Antwortet der Empfänger der SMS-Nachricht auf die SMS, so geht die Antwort an den gefälschten Absender.

Sicherheitstechnisch ist dies bereits deswegen bedenklich, da so beispielsweise Identitätstäuschungen dazu verwendet werden können, arglose Benutzer zur Übersendung vertraulicher Daten an Kriminelle zu veranlassen.

Die Möglichkeit der Manipulation des SMS-Headers besteht bei allen iOS-Versionen, sie ist sogar noch in einer aktuellen Beta-Version von iOS 6 vorhanden. Apple hat diesbezüglich verlauten lassen es handele sich nicht um ein Problem unmittelbar beim iPhone, sondern des SMS-Protokolls insgesamt. Die sichtbare Absenderadresse auszutauschen sei auch bei vielen Smartphones anderer Hersteller möglich. Von daher verweist Apple auf den eigenen iMessage-Dienst, da bei diesem derartige Attacken unmöglich seien. Dies wird damit begründet, dass iMessage über eine integrierte Verifizierungsfunktion verfüge, die den Absender einer Nachricht zweifelsfrei identifiziere.

Apple hat insofern Recht, als dass es auch bisher schon problemlos möglich war, über SMS-Dienste im Internet SMS mit einer gefälschten Absenderrufnummer zu erstellen und zu versenden. So kann man auf dem Internetportal www.fakemysms.com entsprechende Nachrichten erstellen. Wie (kinder)leicht das geht, zeigt dieses YouTube-Video: