2372679

Fehler im Apple Store US gefährdete 77 Millionen T-Mobile-Konten

27.08.2018 | 11:53 Uhr | Stephan Wiesend

Durch einen technischen Fehler konnte man per Apple-Store die PIN-Daten von amerikanischen T-Mobile-Kunden abfragen.

In den USA sind mittlerweile 77 Millionen Menschen Kunde bei T-Mobil. Deren Konten waren offenbar durch einen Fehler im Apple Store gefährdet. Wie Buzzfeed berichtet, haben die Sicherheitsforscher Phobia und Nicholas „Convict“ Ceraola eine Schwachstelle im Apple Store gefunden. Die gleiche Sicherheitslücke war offenbar auch bei der Webseite des Versicherers Asurion vorhanden, dort wurden die Passwörter von AT&T-Kunden gefährdet.

Die Schwachstelle basierte auf einer fehlerhaft umgesetzten Schnittstelle zwischen Apple Store und T-Mobile. Nach der Bestellung eines iPhones im Apple Store kann man in den USA sein Gerät nämlich über seinem bestehenden Mobilfunkvertrag kaufen. Dazu gibt man über ein Formular auf der Apple-Store-Seite seine Telefonnummer und seine PIN ein. Wie die Forscher feststellten, ist bei drei der vier unterstützten Telekomanbieter die Anzahl der Eingabemöglichkeiten begrenzt. Nur beim Anbieter T-Mobile fehlt diese Begrenzung, ein Angreifer kann also so lange PIN-Nummern eingeben, bis er die richtige gefunden hat – ein so genannter Brute-Force-Angriff. Über diese PIN hätte er dann Zugriff auf die T-Mobile-Konten des Nutzers und könnte beispielsweise SMS auf ein eigenes Gerät umleiten.

Eine ähnliche Sicherheitslücke gab es auch bei einer Anmeldeseite des Versicherer Asurion. Hier benötigten Hacker zusätzlich den sogenannten Wireless-Security-Anmeldecode eines AT&T-Kunden. Nach einer Eingabe wird bei einer Anmeldung dann noch der PIN-Code des Kunden abgefragt, aber auch hier fehlte eine Begrenzung der Eingaben, was ebenfalls einen Brute-Force-Angriff ermöglichte. Schuld war nach Einschätzung eine fehlerhafte Umsetzung der Webdienste, die für die Abfrage der Kundendaten zuständig war.

Laut Artikel haben Apple und Asturion die Sicherheitslücke mittlerweile geschlossen.

Unsere Meinung : Aktuell ist unbekannt, ob Kundendaten bereits in falsche Hände geraten sind. Ob man Apple oder T-Mobile für die Sicherheitslücke verantwortlich machen sollte, ist nach unserer Einschätzung ebenfalls unklar.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2372679