iphone-ticker.de — Alles zum iPhone. Seit 2007. 19 447 Artikel
   

HotSpot-Lücke: Apps können Telekom-Benutzerdaten abgreifen

Artikel auf Google Plus teilen.
39 Kommentare 39

Mit einer einfachen Web-Abfrage können fast alle Applikationen, die auf den iPhone-Einheiten von Telekom-Kunden installiert sind, die HotSpot-Nutzerdaten des iPhone-Besitzer sowie seine Telefonnummer in Erfahrung bringen. Die Telekom reagiert auf die Veröffentlichung des Datenschutz-Problems mit einem Achselzucken.

hotspot

Wir steigen vorne ein.
Um ihren Bestandskunden den Login in die hauseigenen Telekom-Hotspots so komfortabel wie möglich zu machen, bietet die Telekom ihre Applikation „HotSpot Login“ (AppStore-Link) zum kostenlose Download an. Installiert man „HotSpot Login“, füllt die App die Login-Zugangsdaten beim Verbindungsaufbau mit einem Telekom-Hotspot automatisch aus und glänzt durch ihre kinderleichte Bedienbarkeit.

Das Plus an Komfort birgt jedoch einen Haken. So basieren die Hotspot-Zugangsdaten der Telekom auf der Handy-Rufnummer des Vertragskunden. Eine Ziffernfolge die sich zur eindeutigen Identifikation des iPhone-Besitzers, im schlimmsten Fall jedoch für den Versand von Spam-SMS und für Werbe-Anrufe missbrauchen lassen könnte. App-Entwickler könnten die Rufnummer zudem zur Nutzer-Identifikation über mehrere Apps hinweg nutzen und prüfen, ob Nutzer die Applikation 1 installiert haben, auch Applikation 2 auf ihren Geräten einsetzen.

Das Problem: Die Webabfrage, mit der die Telekom ihrer Hotspot-App den Abruf der Kundendaten im T-Mobile Netz gestattet, lässt sich mit wenig Aufwand auch von anderen Applikationen abfeuern und könnte so zum Einsammeln von Nutzer-Daten Zweckentfremdet werden.

setup

Der Sicherheits-Experte Andreas Kurtz hat die Telekom im November 2013 auf die potentielle Datenschutz-Lücke aufmerksam gemacht, stieß bei den Telekom-Verantwortlichen jedoch auf eine abwehrende Haltung. Vor die Wahl zwischen Komfort und Sicherheit gestellt, entschied sich der Bonner Mobilfunker für die erste Option:

[…] They informed me at the end of November that the issues were still under investigation and provided me with a final reply at the end of December. Within that e-mail they stated that they weighed up the potential risk of abusing the web service against its enormous usability boost and decided to keep that function up running. Otherwise, the overall app usability would suffer significantly. They also pointed out that users would be at risk only when installing „malicious“ apps from third-party marketplaces and it would be the users fault when not sticking to official App Store apps. On a side note, I was wondering since when Apple evaluates individual web service requests within their vetting process? Anyhow, they finally stated that „exploitation of this vulnerability would (at least) require special expertise and criminal energy“. Duh!

Andreas Kurtz via heise

Am Verhalten der HotSpot Login-App wird vorerst nichts geändert.

Montag, 27. Jan 2014, 10:07 Uhr — Nicolas
39 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
    • Hier kann man nichts löschen. Das Problem existiert in der Telekom Infrastruktur nicht auf dem Gerät.

      • Liegt das Problem nicht bei der Hotspot App? Ich habe die noch nie benutzt. Jetzt hab ich sie gelöscht.

      • Also was ich meinte, das man nur über die App die Daten bekommt oder?

      • Die Daten für den Benutzernamen und auch Passwort können mit einem SMS Befehl geändert werden.

        Änderung Benutzername: SMS mit ALIAS „neuer Benutzername“ an die 9526 senden

        Bsp: ALIAS max.mustermann

        Änderung Passwort: SMS mit PASSWORD „neues Passwort“ an die 9526 senden

        Bsp: PASSWORD xyz123

        Die Zugangsdaten nicht über die App anfordern, funktioniert über eine SMS mit dem Stichwort „OPEN“ an die 9526

      • Das Problem besteht unabhängig von der Hotspot App. Es ist also egal, ob man sie installiert hat oder nicht. Deinstallieren bringt in dem Fall gar nichts.

      • Habe ich denen auch schon letztes Jahr geschrieben, mit technischer Beschreibung wie das Problem gelöst werden könnte. „Leiten wir an die technische Abteilung weiter“. Es hat sich aber nichts getan, weil der Fehler noch nicht schwerwiegend genug ist… schade

  • Dann bleibt mir wohl nur, die App zu löschen..

    Der Magenta-Verein bleibt eben groß und träge.. mehr möchte ich dazu nicht sagen.

  • Vor allem funktioniert diese sch..ss app nicht richtig: in ca 50 Prozent der Fälle wenn man in ein t WLAN kommt, zeigt das iPhone zwar WLAN an, kommt aber nicht ins Internet!! Dann muss man händisch diese schwule app öffnen, dort steht dann was von fehlgeschlagen , also auf ausloggen, neu einloggen und dann geht es! Würde mittlerweile gerne wieder auf die hotspots verzichten, das ist echt nervig, und außerdem ist das lte meist eh schneller als die lahmen wlans !! So ein Murks!!

  • Kann es sein, dass das nur funktioniert, wenn man gerade in einem Telekom Hotspot angemeldet ist? Wenn man über ein eigenes WLAN oder 3G/LTE online geht, dürften die Telekom Server nichts zum plaudern haben oder?

  • Man kann die Login Daten doch auch in den iCloud Schlüsselbund legen? Wozu diese App dann noch…Problem gelöst.

    • Auch wenn du die app nicht drauf hast kann jede andere app trotzdem die Telekom Server kontaktieren?! Du hast das Problem nicht verstanden. Nicht die app ist das Problem sondern die Möglichkeit an sich die Daten bei den Telekom Servern zu erfragen.

  • App löschen bringt nichts. Kann man recht Problemlos nachstellen.

  • Wozu eine extra App benutzen? Das hier ist iOS und kein Schrottdroid. Einfach über Einstellungen -> WLAN in den Telekom-Hotspot einloggen und ICLOUD die Credentials VERSCHLÜSSELT speichern lassen. Den Autologin kann man über den „i“ Button am Hotspot einschalten, sodass auch in Zukunft das automatische Verbinden und Einloggen am Hotspot alles von iOS erledigt wird. Geht bereits seit iOS 6 super zuverlässig.

    • Auch wenn du die app nicht drauf hast kann jede andere app trotzdem die Telekom Server kontaktieren?! Du hast das Problem nicht verstanden. Nicht die app ist das Problem sondern die Möglichkeit an sich die Daten bei den Telekom Servern zu erfragen.

      • Mist, das war doch als Antwort an „ispeedy“ gepostet weil er wegen der App gemeckert hat -.-

  • Der Bericht Von Nicolas berücksichtigt nicht, das jeder Mobilfunkkunde sich über die Hotspot-Webseite (administration) seine Mobilfunkrufnummer mit einem alternativen Login-Namen hinterlegen kann und diesen zum Login statt der Mobilfunk-Nummer verwenden kann. Auch kann man dort sein eigenes Passwort hinterlegen.

  • Besteht denn das Problem auch wenn ich die Nutzerdaten über iOS verwende und den automatischen Login aktiviert habe oder nur bei Nutzung der Hotspot App?

  • Hans Werner von Umwucht

    Hab am iPad Mini en javascript zum direkten Login und das funzt super mit den Hotspots (wofür diese App?).
    Aber anhand der Kommentare merkt man, das es nicht ganz durchgekommen ist, das es sich hier um ein Problem der Überprüfung an sich handelt und nicht um ein Problem der App…

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 19447 Artikel in den vergangenen 3381 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven