Apple heet gereageerd op het beveiligigingslek in de SMS-applicatie van de iPhone. Afgelopen vrijdag schreven diverse websites erover dat een bekende hacker, pod2g, een beveiligingslek ontdekte, waarbij je telefoonnnumers kunt spoofen. Daardoor lijken sms-berichten afkomstig van je bank, een vriend of een andere vertrouwde partij. Apple’s reactie hierop is echter vrij opmerkelijk. In plaats van het probleem daadwerkelijk op te lossen in de vorm van bijvoorbeeld een update, raden ze gebruikers aan iMessage te gebruiken, Apple’s eigen messaging platform dat sinds iOS 5 op de iPhone, iPad en iPod touch te vinden is.
iMessage is een platform van Apple, waarmee je alleen kunt communiceren als de ander een iOS-apparaat of Mac heeft. Het zal lastig zijn om je bank ervan te overtuigen dat ze moeten stoppen met het toesturen van TAN-codes per sms en dat ze op iMessage moeten overstappen. Overigens is de iPhone niet het enige toestel wat gevoelig is voor spoofing, maar de iPhone krijgt door z’n populariteit wel de volle laag kritiek. Voorlopig de beste oplossing blijft om geen vertrouwelijke details (wachtwoorden, creditcardgegevens) via sms uit te wisselen als een ‘bekend’ erom vraagt.
Apple’s reactie aan Engadget luidt als volgt:
“Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.”
Vrij vertaald naar Nederlands:
“Apple neemt veiligheid heel serieus. Als iMessage in plaats van sms wordt gebruikt, zijn adressen geverifiëerd welke beschermt tegen deze vormen van sppofing-aanvallen. Één van de limieten van sms is dat het toestaat berichten te sturen met spoofed adressen naar iedere telefoon, dus we dringen er bij klanten, om uiterst voorzichtig te zijn als ze gericht zijn op een onbekende website of adres via sms.”
De oplossing klinkt vrij logisch, als je bedenkt dat iMessage berichten encrypt wanneer ze verstuurd worden. De gewone sms-functionaliteit heeft dit niet, omdat berichten ook naar niet-iOS-apparaten gestuurd worden. Dat vertellen ze ook hierboven. Wil je dus absolute veiligheid, dan moet je iMessage gebruiken óf je moet gewoon geen persoonlijke informatie, zoals TAN-codes, meer laten versturen naar je iPhone. In dat geval kun je ook gewoon de applicatie van de bank gebruiken. Voor het verkrijgen van een toeganscode voor zo’n applicatie (in dit geval als voorbeeld even de ‘ING Bankieren’-app) is slechts één TAN-code nodig. Hierna verwijder je hem, en zijn TAN-codes nooit meer nodig. Internetbankieren via iDeal? Gewoon niet doen.
