HotSpot-Lücke: Apps können Telekom-Benutzerdaten abgreifen
Mit einer einfachen Web-Abfrage können fast alle Applikationen, die auf den iPhone-Einheiten von Telekom-Kunden installiert sind, die HotSpot-Nutzerdaten des iPhone-Besitzer sowie seine Telefonnummer in Erfahrung bringen. Die Telekom reagiert auf die Veröffentlichung des Datenschutz-Problems mit einem Achselzucken.
Wir steigen vorne ein.
Um ihren Bestandskunden den Login in die hauseigenen Telekom-Hotspots so komfortabel wie möglich zu machen, bietet die Telekom ihre Applikation „HotSpot Login“ (AppStore-Link) zum kostenlose Download an. Installiert man „HotSpot Login“, füllt die App die Login-Zugangsdaten beim Verbindungsaufbau mit einem Telekom-Hotspot automatisch aus und glänzt durch ihre kinderleichte Bedienbarkeit.
Das Plus an Komfort birgt jedoch einen Haken. So basieren die Hotspot-Zugangsdaten der Telekom auf der Handy-Rufnummer des Vertragskunden. Eine Ziffernfolge die sich zur eindeutigen Identifikation des iPhone-Besitzers, im schlimmsten Fall jedoch für den Versand von Spam-SMS und für Werbe-Anrufe missbrauchen lassen könnte. App-Entwickler könnten die Rufnummer zudem zur Nutzer-Identifikation über mehrere Apps hinweg nutzen und prüfen, ob Nutzer die Applikation 1 installiert haben, auch Applikation 2 auf ihren Geräten einsetzen.
Das Problem: Die Webabfrage, mit der die Telekom ihrer Hotspot-App den Abruf der Kundendaten im T-Mobile Netz gestattet, lässt sich mit wenig Aufwand auch von anderen Applikationen abfeuern und könnte so zum Einsammeln von Nutzer-Daten Zweckentfremdet werden.
Der Sicherheits-Experte Andreas Kurtz hat die Telekom im November 2013 auf die potentielle Datenschutz-Lücke aufmerksam gemacht, stieß bei den Telekom-Verantwortlichen jedoch auf eine abwehrende Haltung. Vor die Wahl zwischen Komfort und Sicherheit gestellt, entschied sich der Bonner Mobilfunker für die erste Option:
[…] They informed me at the end of November that the issues were still under investigation and provided me with a final reply at the end of December. Within that e-mail they stated that they weighed up the potential risk of abusing the web service against its enormous usability boost and decided to keep that function up running. Otherwise, the overall app usability would suffer significantly. They also pointed out that users would be at risk only when installing „malicious“ apps from third-party marketplaces and it would be the users fault when not sticking to official App Store apps. On a side note, I was wondering since when Apple evaluates individual web service requests within their vetting process? Anyhow, they finally stated that „exploitation of this vulnerability would (at least) require special expertise and criminal energy“. Duh!
Andreas Kurtz via heise
Am Verhalten der HotSpot Login-App wird vorerst nichts geändert.
Löschen
Hier kann man nichts löschen. Das Problem existiert in der Telekom Infrastruktur nicht auf dem Gerät.
Liegt das Problem nicht bei der Hotspot App? Ich habe die noch nie benutzt. Jetzt hab ich sie gelöscht.
Also was ich meinte, das man nur über die App die Daten bekommt oder?
Die Daten für den Benutzernamen und auch Passwort können mit einem SMS Befehl geändert werden.
Änderung Benutzername: SMS mit ALIAS „neuer Benutzername“ an die 9526 senden
Bsp: ALIAS max.mustermann
Änderung Passwort: SMS mit PASSWORD „neues Passwort“ an die 9526 senden
Bsp: PASSWORD xyz123
Die Zugangsdaten nicht über die App anfordern, funktioniert über eine SMS mit dem Stichwort „OPEN“ an die 9526
Das Problem besteht unabhängig von der Hotspot App. Es ist also egal, ob man sie installiert hat oder nicht. Deinstallieren bringt in dem Fall gar nichts.
Habe ich denen auch schon letztes Jahr geschrieben, mit technischer Beschreibung wie das Problem gelöst werden könnte. „Leiten wir an die technische Abteilung weiter“. Es hat sich aber nichts getan, weil der Fehler noch nicht schwerwiegend genug ist… schade
Hat jemand was Anderes erwartet?
Dann bleibt mir wohl nur, die App zu löschen..
Der Magenta-Verein bleibt eben groß und träge.. mehr möchte ich dazu nicht sagen.
Und was bringt das? Auch dann kann jede andere app die Telekom Server kontaktieren.
Nicht die App löschen, den Telekom Vertrag löschen!
Guter Vorschlag. Hast Du nen passenden Anwalt für mich? ;)
Vor allem funktioniert diese sch..ss app nicht richtig: in ca 50 Prozent der Fälle wenn man in ein t WLAN kommt, zeigt das iPhone zwar WLAN an, kommt aber nicht ins Internet!! Dann muss man händisch diese schwule app öffnen, dort steht dann was von fehlgeschlagen , also auf ausloggen, neu einloggen und dann geht es! Würde mittlerweile gerne wieder auf die hotspots verzichten, das ist echt nervig, und außerdem ist das lte meist eh schneller als die lahmen wlans !! So ein Murks!!
Wow! Auf ein und ausloggen zu klicken ist dir schon zu viel… :-/
Ja, das ist mir zuviel! Nur weil die telekomiker nicht ordentlich programmieren können!
Ich will dass es einfach funktioniert, ohne Einstellungen und Ärger! Deshalb nutze ich Apple!
Wenn man sich ständig aus- und wieder einloggen muss, bietet eine solche App auch keinen Mehrwert.
Von daher kann ich die Reaktion, oder vielmehr die Aufregung von ispeedy verstehen.
Apps haben keinerlei sexuelle Neigungen! Also mäßige und überdenke Deine diskriminierende Wortwahl…
Ein Neandertaler er ist.
Sehe ich auch so. Mir ist die Wortwahl ebenfalls unangenehm augfestoßen.
Fühlt ihr euch alle angesprochen!?- soviele warme Brüder hier!? ;-p da stell ich mich mal lieber mit dem Rücken zur Wand… Haha!
Das schwul immer als Schimpfwort benutzt wird nervt mich tierisch!
Aber die arme Tiere heranzuziehen ist egal?
Kann es sein, dass das nur funktioniert, wenn man gerade in einem Telekom Hotspot angemeldet ist? Wenn man über ein eigenes WLAN oder 3G/LTE online geht, dürften die Telekom Server nichts zum plaudern haben oder?
Man kann die Login Daten doch auch in den iCloud Schlüsselbund legen? Wozu diese App dann noch…Problem gelöst.
Auch wenn du die app nicht drauf hast kann jede andere app trotzdem die Telekom Server kontaktieren?! Du hast das Problem nicht verstanden. Nicht die app ist das Problem sondern die Möglichkeit an sich die Daten bei den Telekom Servern zu erfragen.
Man kann den Standard-Nick ändern!
App löschen bringt nichts. Kann man recht Problemlos nachstellen.
Wozu eine extra App benutzen? Das hier ist iOS und kein Schrottdroid. Einfach über Einstellungen -> WLAN in den Telekom-Hotspot einloggen und ICLOUD die Credentials VERSCHLÜSSELT speichern lassen. Den Autologin kann man über den „i“ Button am Hotspot einschalten, sodass auch in Zukunft das automatische Verbinden und Einloggen am Hotspot alles von iOS erledigt wird. Geht bereits seit iOS 6 super zuverlässig.
Auch wenn du die app nicht drauf hast kann jede andere app trotzdem die Telekom Server kontaktieren?! Du hast das Problem nicht verstanden. Nicht die app ist das Problem sondern die Möglichkeit an sich die Daten bei den Telekom Servern zu erfragen.
Mist, das war doch als Antwort an „ispeedy“ gepostet weil er wegen der App gemeckert hat -.-
Der Bericht Von Nicolas berücksichtigt nicht, das jeder Mobilfunkkunde sich über die Hotspot-Webseite (administration) seine Mobilfunkrufnummer mit einem alternativen Login-Namen hinterlegen kann und diesen zum Login statt der Mobilfunk-Nummer verwenden kann. Auch kann man dort sein eigenes Passwort hinterlegen.
Genauso wenig berücksichtigt der Bericht das man auch seine Festnetzdaten eintragen kann. Gebuchte HotSpotFlat vorausgesetzt (WLAN TO GO, etc.)
Das hat aber nichts mit dem Problem zu tun, von dem der Artikel handelt.
Besteht denn das Problem auch wenn ich die Nutzerdaten über iOS verwende und den automatischen Login aktiviert habe oder nur bei Nutzung der Hotspot App?
Das Problem hat nichts mit der app Zutun sondern mit den Servern der Telekom.
@Hempelchen. Du wiederholst dich permanent. Hast du nix anderes zu tun? Wir haben es nun alle verstanden.
Hab am iPad Mini en javascript zum direkten Login und das funzt super mit den Hotspots (wofür diese App?).
Aber anhand der Kommentare merkt man, das es nicht ganz durchgekommen ist, das es sich hier um ein Problem der Überprüfung an sich handelt und nicht um ein Problem der App…
Kannst du den Java Schnipsel hier mal Posten?
Hier die Anleitung:
http://buntepixel.org/2013/03/.....-hotspots/
Hat bei mir super geklapt.