Telekom will HotSpot-App nun doch ĂĽberarbeiten
Das von heise Security beschriebene Missbrauchsszenario sei zwar "bisher rein theoretisch". Dennoch will die Telekom die HotSpot-App überarbeiten und "wohl einige Funktionen vorübergehend deaktivieren" erklärte ein Sprecher.
Heise Security berichtete gestern von einem freizügigen Web-Dienst, der einer Telekom-App für die komfortable Nutzung von Hotspots Telefonnummer und Hotspot-Passwort übermittelt. Dummerweise kann damit prinzipiell jede iPhone-App diese Informationen ebenfalls abrufen. Das dürften sich die datenhungrigen Betreiber von Werbenetzen kaum entgehen lassen, um dann dann gezielt Telekom-Kunden etwa mit Werbe-SMS zu überfluten. Das Telekom-Security-Team sah zunächst keinen Handlungsbedarf. In einer ersten Stellungnahme zu der Veröffentlichung lenkt die Telekom jetzt jedoch ein und will "die HotSpot-App daher überarbeiten und wohl einige Funktionen vorübergehend deaktivieren".
iOS-Apps haben aus gutem Grund keinen Zugriff auf die Telefonnummer des Geräts. Damit sich die Telekom-App trotzdem ganz ohne Eingabe des Benutzers selbst konfigurieren kann, fragt sie die Benutzerkennung mit Telefonnummer und Hotspot-Passwort bei einem von der Telekom bereit gestellten Web-Dienst ab. Dabei muss sie sich zwar gegenüber diesem Dienst mit einem Geheimnis ausweisen. Das ist jedoch immer gleich und lässt sich leicht extrahieren. "Mit den nun veröffentlichten Informationen könnte allerdings eine App entwickelt werden, die die Zugangsdaten des Gerätes erfasst" bestätigt Philipp Blank von der Telekom das Problem gegenüber heise Security. Was er nicht dazu sagt, ist, dass sich genauso wie der Sicherheitsforscher Andreas Kurtz auch jeder andere neugierige Hacker diese Informationen hätte besorgen können.
Akute Gefahr besteht derzeit noch nicht; wie auch Blank betont, müssten zunächst Apps mit entsprechenden Spionage-Funktionen entwickelt und verbreitet werden. Da das Problem völlig unabhängig davon ist, ob man die Hotspot-App installiert hat oder nicht, besteht auch keine Notwendigkeit, sie zu deinstallieren. Bislang liegen uns noch keine konkreten Informationen vor, was die Telekom jetzt ändern will. Die einfachste Maßnahme wäre es, auf die automatische Einrichtung zu verzichten und den Anwender bei der Ersteinrichtung die Zugangsdaten einmalig selbst eingeben zu lassen. Die könnte er dazu wie bisher auch etwa via SMS anfordern. (ju)