HotSpot-Lücke: Apps können Telekom-Benutzerdaten abgreifen
Mit einer einfachen Web-Abfrage können fast alle Applikationen, die auf den iPhone-Einheiten von Telekom-Kunden installiert sind, die HotSpot-Nutzerdaten des iPhone-Besitzer sowie seine Telefonnummer in Erfahrung bringen. Die Telekom reagiert auf die Veröffentlichung des Datenschutz-Problems mit einem Achselzucken.Wir steigen vorne ein.
Um ihren Bestandskunden den Login in die hauseigenen Telekom-Hotspots so komfortabel wie möglich zu machen, bietet die Telekom ihre Applikation “HotSpot Login” ( https://itunes.apple.com/app … d=747172&ign-mpt=uo%3D6&mt=8 ) zum kostenlose Download an. Installiert man “HotSpot Login”, füllt die App die Login-Zugangsdaten beim Verbindungsaufbau mit einem Telekom-Hotspot automatisch aus und glänzt durch ihre kinderleichte Bedienbarkeit.
Das Plus an Komfort birgt jedoch einen Haken. So basieren die Hotspot-Zugangsdaten der Telekom auf der Handy-Rufnummer des Vertragskunden. Eine Ziffernfolge die sich zur eindeutigen Identifikation des iPhone-Besitzers, im schlimmsten Fall jedoch für den Versand von Spam-SMS und für Werbe-Anrufe missbrauchen lassen könnte. App-Entwickler könnten die Rufnummer zudem zur Nutzer-Identifikation über mehrere Apps hinweg nutzen und prüfen, ob Nutzer die Applikation 1 installiert haben, auch Applikation 2 auf ihren Geräten einsetzen.
Das Problem: Die Webabfrage, mit der die Telekom ihrer Hotspot-App den Abruf der Kundendaten im T-Mobile Netz gestattet, lässt sich mit wenig Aufwand auch von anderen Applikationen abfeuern und könnte so zum Einsammeln von Nutzer-Daten Zweckentfremdet werden.
Der Sicherheits-Experte Andreas Kurtz hat die Telekom im November 2013 auf die potentielle Datenschutz-Lücke aufmerksam gemacht, stieß bei den Telekom-Verantwortlichen jedoch auf eine abwehrende Haltung. Vor die Wahl zwischen Komfort und Sicherheit gestellt, entschied sich der Bonner Mobilfunker für die erste Option:
[...] They informed me at the end of November that the issues were still under investigation and provided me with a final reply at the end of December. Within that e-mail they stated that they weighed up the potential risk of abusing the web service against its enormous usability boost and decided to keep that function up running. Otherwise, the overall app usability would suffer significantly. They also pointed out that users would be at risk only when installing “malicious” apps from third-party marketplaces and it would be the users fault when not sticking to official App Store apps. On a side note, I was wondering since when Apple evaluates individual web service requests within their vetting process? Anyhow, they finally stated that “exploitation of this vulnerability would (at least) require special expertise and criminal energy”. Duh!
Andreas Kurtz via heise
Andreas Kurtz via heise
Am Verhalten der HotSpot Login-App wird vorerst nichts geändert.
Quelle: iPhone-Ticker
