[iOS 8] SMS Weiterleitung - Gefahr beim Onlinebanking

[Rengel]

Hallo,
mir ist heute bewusst geworden, das bei der SMS Weiterleitung auch die SMS meiner Bank mit dem Mobile Tan an alle Geräte weitergeleitet wird. Hierin sehe ich eine große Gefahr da hierdurch der Pin nicht mehr nur an einem Gerät erscheint.

Ist sich Apple dieser Gefahr bewusst und gibt es eine Möglichkeit, bestimmte Nummern nicht weiterzuleiten?

Gruß
Rengel

 

[Mitglied 105235]

Das dürfte Apple bewusst sein, jedoch sind diese Geräte ja mit deiner Apple ID versehen und in deinem Netzwerk. Die Gefahr ist also überschaubar, nutz irgend ein neues Gerät deine Apple ID bekommst du ja sogar eine Benachrichtigung das ein neues Gerät deine Apple ID Nutz und wenn ein anderes Gerät mit deiner Apple ID nicht in deinen WLAN ist bekommt dieses ja auch nicht die SMS weitergeleitet.

 

[TheTripleist]

Weiterleitung der SMS nur im WLAN? Ist das so? Bei Anrufen ja, aber bei sms dachte ich es wäre WLAN unabhängig.

 

[Rengel]

OK, das das iPad die SMS nur erhält wenn iPad und iPhone in dem Moment im gleichen WLAN sind, wusste ich nicht.

Das ändert die Sache natürlich!

 

[Ijon Tichy]

Dass man damit aber die 2-Kanal-Authentifizierung wirksam unterläuft, ist ein Problem, dessen sich wohl nicht jeder bewusst ist!

Die Idee ist ja, die TAN auf einem separaten Kanal zu übertragen, damit sie manuell auf den Computer übertragen wird und an dieser Stelle somit keine Malware dazwischenfunken kann. Durch die SMS-Weiterleitung wird mTAN also nicht nur gefährlich. Man dürfte damit auch gegen die AGB praktisch jeder Bank verstoßen und im Ernstfall auf eventuellen Schäden sitzenbleiben.

 

[Mitglied 105235]

Weiterleitung der SMS nur im WLAN? Ist das so? Bei Anrufen ja, aber bei sms dachte ich es wäre WLAN unabhängig.

Dachte es ist wie bei den Anrufen, das es nur in WLAN geht. Da ich aber generell nicht viele SMS bekomme kann ich das nun nicht genau sagen eben. Verwende zwar auch Mobil Tan, jedoch muss ich aktuell auch keine Überweisung machen um das zu testen was ist wenn ich das iPhone aus WLAN raus nehme.


edit:
Habe mein iPhone eben aus WLAN und habe mir übern Mac auf das Arbeitshandy eine SMS geschickt, sie ging ohne Probleme raus. Also muss das Gerät nicht in gleichen WLAN sein für das versenden und empfangen. Somit sorry, für die Falsche aussage von mir das man in WLAN sein muss. Dachte es wäre wie beim telefonieren. @Rengel

Gut aber man muss ja trotzdem das Gerät hinzufügen und einen Code eingeben der angezeigt wird, wurde also schon an einiges gedacht das nicht einfach so jeder die SMS dann bekomm.

 

[Rengel]

Hallo, habe es auch ausprobiert und das Handy aus dem WLAN genommen. SMS von verschiedenen Freunden werden am iPad nur angezeigt, wenn das iPhone im WLAN ist.

Die Frage bzgl der Onlinebanking AGB habe ich mal an einen Freund bei der Sparkasse weitergeleitet. Definitiv ein interessanter Punkt!!

 

[TheTripleist]

Na was den nun. Mit oder ohne WLAN?

 

[smoe]

Die Sache mit den AGB der Banken ist ein berechtigter Einwand. Weiß da jemand wie das bei den großen Banken so läuft?

 

[TheTripleist]

Habe mein iPhone eben aus WLAN und habe mir übern Mac auf das Arbeitshandy eine SMS geschickt, sie ging ohne Probleme raus. Also muss das Gerät nicht in gleichen WLAN sein für das versenden und empfangen.

Also ich habe eben mal an allen Geräten WLAN ausgeschaltet und eine SMS auf das iPhone geschickt. Es kam nur auf dem iPhone an. Nach und nach WLAN auf den anderen Geräten eingeschaltet und dann kam die SMS auch auf diesen an. Nun stellt sich nur noch die Frage ob es wirklich im gleichen WLAN (wie bei Telefonanrufen) sein muss oder nur irgendein WLAN.

Mobile TAN nutze ich ohnehin nicht. Aber sms würde ich gerne auch auf dem 4S bekommen können (z.B. auf MTB Tour), wenn ich das 6er zu Hause lasse.

 

[echo.park]

Ist sich Apple dieser Gefahr bewusst und gibt es eine Möglichkeit, bestimmte Nummern nicht weiterzuleiten?

Warum sollte das Apple interessieren? Der Kunde entscheidet, was er macht. Apple stellt nur Features zur Verfügung.

Einzelne Nummern kann man leider nicht abschalten, du kannst die SMS-Weiterleitung nur komplett abdrehen. Das habe ich getan, eben genau aus den von @Ijon Tichy genannten Gründen.

 

[Martin Wendel]

Der mobile TAN gilt ja jeweils nur für die derzeit aktive Sitzung. Melde ich mich beim Online-Banking meiner Bank ab und wieder an muss ein neuer Code generiert und verschickt werden. Der alte ist nicht mehr gültig. Von daher sehe ich jetzt eigentlich kein Sicherheitsproblem, oder übersehe ich etwas?

 

[Farafan]

Warum in Gottes Namen soll dies ein Problem von Apple sein? Kaum taucht irgendwo ein mögliches Risiko auf das am Rande mit der Nutzung von Handy oder Computer zu tun hat und schon soll Apple sich Gedanken machen?

Ist etwa Ferrari auch in der Verantwortung wenn ich mit einem ihrer Produkte mit 180 km/h durch eine verkehrsberuhigte Zone rase?


Ach wie schön wäre doch ein Leben völlig ohne Eigenverantwortung und Hirn.......

 

[echo.park]

Von daher sehe ich jetzt eigentlich kein Sicherheitsproblem, oder übersehe ich etwas?

Mal angenommen du hast einen Trojaner auf deinem Mac (sofern das in den nächsten 10 Jahren mal passiert ), dann klaut dir dieser nicht nur dein Passwort für den Login zum Online-Banking, sondern auch deine TANs aus der Messages-App. Er kann dann Überweisungen zu seinen Gunsten ausführen, du siehst davon nichts. Der Browser wird ebenfalls manipuliert und du denkst es läuft alles korrekt bei deiner Überweisung, bis dann das Geld weg und ganz wo anders angekommen ist.

So oder so ähnlich.

 

[technikelse]

Aber sms würde ich gerne auch auf dem 4S bekommen können (z.B. auf MTB Tour), wenn ich das 6er zu Hause lasse.

Dabei kann dir Apple nicht helfen. Aber dein Mobilfunkprovider. Das funktioniert nämlich dann, wenn du eine Multi SIM hast und temporär den SMS Empfang mit *222# auf dein 4s umstellst. Wenn du dich dann genug auf deinem MTB abgerackert hast, kannst du mit dem gleichen Code den SMS Empfang vier zurück aufs 6er stellen.

 

[TheTripleist]

Nun, für die 2-3 SMS die ich gefühlt im Monat bekomme werde ich mir keine Multi SIM besorgen. Und für sonstige Datenübertragungen muss ich ja auch nicht im gleichen WLAN sein. Warum sollte etwas nicht über mobile Daten gehen was über WLAN geht? Aber ich denke das wird langsam zu OT hier.

 

[Ijon Tichy]

Warum in Gottes Namen soll dies ein Problem von Apple sein? Kaum taucht irgendwo ein mögliches Risiko auf das am Rande mit der Nutzung von Handy oder Computer zu tun hat und schon soll Apple sich Gedanken machen?

Hat keiner gesagt. Der Anwender aber schon.

Es ist übrigens auch nicht erlaubt, auf demselben Smartphone über eine Banking-App Überweisungen zu machen, auf der auch die mTAN ankommt.

 

[Farafan]

Hat keiner gesagt.

Doch.

Ist sich Apple dieser Gefahr bewusst.....

 

[Martin Wendel]

Es ist übrigens auch nicht erlaubt, auf demselben Smartphone über eine Banking-App Überweisungen zu machen, auf der auch die mTAN ankommt.

Habe mal die Geschäftsbedingungen meiner Bank durchgesehen. Da gibt es weder eine solche Regelung, noch dass eine solche SMS nicht weitergeleitet werden darf.

 

[Farafan]

Naja, wenn eine Zwei-Wege-Authentifizierung dadurch ausgehebelt wird das doch wieder nur ein Weg genutzt wird so fällt dies sicherlich unter grobe Fahrlässigkeit.

AGB können schließlich nicht Dinge erfassen die erst nach deren Erstellung technisch machbar werden.