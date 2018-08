Betroffene Anmeldeseite im Apple Online Store. (Bild: Screenshot via Buzzfeed)

Kunden von T-Mobile USA waren von einer potenziellen SIM-Entführung bedroht, da Apple Brute-Force-Angriffe erlaubte.

Über Apples Online-Laden war es möglich, an Account-PINs von Nutzern der US-Tochter von T-Mobile zu gelangen. Das hat ein Team von Sicherheitsforschern festgestellt. Mit den PINs werden Mobilfunkverträge bei dem Carrier abgesichert – sie sind unter anderem notwendig, um Verträge auf andere Personen zu übertragen, neue SIMs zu beauftragen oder Adressänderungen vorzunehmen. Angreifer hätten über die Lücke sogenannte SIM-Entführungen (SIM-Hijackings) vornehmen können – also das Übertragen einer Mobilfunknummer an eine unautorisierte Person. Damit sind dann wiederum andere Attacken möglich, etwa auf Banking-SMS (mTANs) oder Zwei-Faktor-Authentifizierungen per SMS.

Kein Rate Limiting auf Authentifizierungsseite

Laut Angaben der Security-Experten Phobia und Nicholas “Convict” Ceraolo, die das Problem gegenüber Buzzfeed aufdeckten, fehlte einer Authentifizierungsseite im Apple Online Store, die zur Einrichtung neuer T-Mobile-iPhone-Bezahlverträge diente, ein Schutz gegen Brute-Force-Angriffe – es war offenbar kein Rate Limiting gesetzt, das dauernde Anfragen seitens eines Rechners der Angreifer nach einer bestimmten Zeit verhindert. Zum Brute Forcing waren die Mobilfunknummer und eine vierstellige PIN respektive die letzten vier Ziffern der Sozialversicherungsnummer notwendig. Vier Stellen lassen sich bei fehlendem Rate Limiting leicht per Brute Forcing ermitteln.

API falsch durch Apple eingebaut?

Die Seite ließ sich erreichen, indem man einen neuen iPhone-Einkaufsvorgang im Apple Online Store anstieß und dabei als Carrier T-Mobile wählte. Für andere Mobilfunkanbieter existiert diese Seite auch, dort war die Seite nach fünf bis zehn fehlerhaften Eingaben der PIN aber für jeweils 60 Minuten gesperrt, was das Brute Forcing erschwert. Ceraolo vermutet, Apple habe einen Fehler bei der Integration der Account-Validierungs-API von T-Mobile in seinen Online-Store gemacht.

Probleme auch bei anderem US-Carrier

Der Fehler ist mittlerweile behoben und es ist unklar, ob er jemals von echten Angreifern ausgenutzt wurde. Dennoch sollten Kunden ihre PIN sicherheitshalber ändern. Ceraolo und Phobia demonstrierten ein ähnliches Problem auch beim T-Mobile-Konkurrenten AT&T und dessen Servicepartner Asurion. Auch hier war es über eine Website möglich, die Sicherheits-PIN zu ermitteln. (bsc)