iphone-ticker.de — Alles zum iPhone. Seit 2007. 34 765 Artikel
   

HotSpot-Lücke: Apps können Telekom-Benutzerdaten abgreifen

39 Kommentare 39

Mit einer einfachen Web-Abfrage können fast alle Applikationen, die auf den iPhone-Einheiten von Telekom-Kunden installiert sind, die HotSpot-Nutzerdaten des iPhone-Besitzer sowie seine Telefonnummer in Erfahrung bringen. Die Telekom reagiert auf die Veröffentlichung des Datenschutz-Problems mit einem Achselzucken.

hotspot

Wir steigen vorne ein.
Um ihren Bestandskunden den Login in die hauseigenen Telekom-Hotspots so komfortabel wie möglich zu machen, bietet die Telekom ihre Applikation „HotSpot Login“ (AppStore-Link) zum kostenlose Download an. Installiert man „HotSpot Login“, füllt die App die Login-Zugangsdaten beim Verbindungsaufbau mit einem Telekom-Hotspot automatisch aus und glänzt durch ihre kinderleichte Bedienbarkeit.

Das Plus an Komfort birgt jedoch einen Haken. So basieren die Hotspot-Zugangsdaten der Telekom auf der Handy-Rufnummer des Vertragskunden. Eine Ziffernfolge die sich zur eindeutigen Identifikation des iPhone-Besitzers, im schlimmsten Fall jedoch für den Versand von Spam-SMS und für Werbe-Anrufe missbrauchen lassen könnte. App-Entwickler könnten die Rufnummer zudem zur Nutzer-Identifikation über mehrere Apps hinweg nutzen und prüfen, ob Nutzer die Applikation 1 installiert haben, auch Applikation 2 auf ihren Geräten einsetzen.

Das Problem: Die Webabfrage, mit der die Telekom ihrer Hotspot-App den Abruf der Kundendaten im T-Mobile Netz gestattet, lässt sich mit wenig Aufwand auch von anderen Applikationen abfeuern und könnte so zum Einsammeln von Nutzer-Daten Zweckentfremdet werden.

setup

Der Sicherheits-Experte Andreas Kurtz hat die Telekom im November 2013 auf die potentielle Datenschutz-Lücke aufmerksam gemacht, stieß bei den Telekom-Verantwortlichen jedoch auf eine abwehrende Haltung. Vor die Wahl zwischen Komfort und Sicherheit gestellt, entschied sich der Bonner Mobilfunker für die erste Option:

[…] They informed me at the end of November that the issues were still under investigation and provided me with a final reply at the end of December. Within that e-mail they stated that they weighed up the potential risk of abusing the web service against its enormous usability boost and decided to keep that function up running. Otherwise, the overall app usability would suffer significantly. They also pointed out that users would be at risk only when installing „malicious“ apps from third-party marketplaces and it would be the users fault when not sticking to official App Store apps. On a side note, I was wondering since when Apple evaluates individual web service requests within their vetting process? Anyhow, they finally stated that „exploitation of this vulnerability would (at least) require special expertise and criminal energy“. Duh!

Andreas Kurtz via heise

Am Verhalten der HotSpot Login-App wird vorerst nichts geändert.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
27. Jan 2014 um 10:07 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    39 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    39 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 34765 Artikel in den vergangenen 5638 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven