iPhone: Hotspot-Login-App der Telekom ist Sicherheitsrisiko

Die WLAN-Hotspot-Login-App der Deutschen Telekom für das Apple iPhone ist laut Medienberichten ein Sicherheitsrisiko. Wir zeigen die Schwachstelle auf und berichten darüber, welche Daten offengelegt werden und was Unbefugte damit im Zweifelsfall anfangen können.

Von Markus Weidner

Hotspot-Login-App als Sicherheitsrisiko Hotspot-Login-App als Sicherheitsrisiko
Foto: teltarif Wer einen kommerziellen WLAN-Hotspot am Smartphone nutzen möchte weiß, dass die Eingabe von Benutzernamen und Passwort oft eine etwas fummelige Angelegenheit ist. Die Deutsche Telekom macht es ihren Kunden indes einfach und stellt kostenlose Hotspot-Login-Apps für alle gängigen mobilen Betriebssysteme bereit. Einmal hier die Nutzerdaten eingetragen übernimmt diese App dann das Einbuchen in den Hotspot des Bonner Telekommunikationskonzerns.

Wie das Onlinemagazin heise berichtet, stellt aber genau diese Hotspot-Login-App zumindest beim Apple iPhone ein Sicherheitsrisiko dar. Die Anwendung kann über eine mobile Datenverbindung auch die Benutzerdaten des Kunden automatisch ermitteln und in die App eintragen. An diese Daten könnten - zumindest theoretisch - dann auch andere auf dem iPhone installierte Anwendungen gelangen, zumal alle erforderlichen Informationen entweder über die Datenverbindung übermittelt werden oder in der Hotspot-Login-App enthalten sind.

Hotspot-Login-App als Sicherheitsrisiko Hotspot-Login-App als Sicherheitsrisiko
Foto: teltarif Dem Bericht zufolge müsse eine datenhungrige iPhone-Applikation demnach nur eine entsprechende Anfrage nach den Daten starten um diese zu erhalten. Theoretisch müsse der Nutzer nicht einmal die Hotspot-Login-App installiert haben, da es ausreiche, die mobilfunkbasierte Abfrage zu starten und so dem Netz vorzutäuschen, die Anfrage komme von der Anwendung des Telekommunikationskonzerns.

heise: "Telekom weiß seit November vom Sicherheitsproblem"

Wie heise weiter berichtet hat iOS-Experte Andreas Kurtz, der die Sicherheitslücke entdeckt hat, schon im November die Telekom über das Problem in Kenntnis gesetzt. Der Konzern halte jedoch an seinem bisherigen Verfahren fest. Damit besteht nicht nur die Gefahr, dass die Hotspot-Benutzerdaten ausgelesen werden. Diese beinhalten standardmäßig auch die Handynummer des Kunden, die sich somit in der Folge für Spam-SMS und Werbe-Anrufe missbrauchen lasse.

Die Telekom argumentiert dem Bericht zufolge, das Ausnutzen dieser Sicherheitslücke bedürfe einer "besonderen Expertise sowie kriminelle Energie". Daher wolle das Unternehmen die Login-App unverändert anbieten und auch an der Möglichkeit, die Benutzerdaten automatisch zu ermitteln und einzutragen, nichts ändern. Dabei wäre das Sicherheitsrisiko schon damit ausgeschlossen, wenn es die Telekom dem Nutzer zumuten würde, seine Zugangsdaten generell selbst einzutragen statt diese automatisch ermitteln zu lassen.

Neben iOS ist die Hotspot-Login-App seit geraumer Zeit auch für Smartphones und Tablets mit dem Android-Betriebssystem von Google erhältlich. Erst kürzlich hatte der Bonner Telekommunikationsanbieter die Anwendung auch für Smartphones veröffentlicht, die auf dem Windows-Phone-Betriebssystem von Microsoft basieren. Bislang nicht bekannt ist, ob es auch bei den Apps für die anderen Betriebssysteme vergleichbare Sicherheitslücken gibt.

Weitere Meldungen zum Thema Sicherheit im Internet

15.05.24 - VZ warnt: Keine Netflix-Freimonate bei Datenaktualisierung
15.05.24 - Schiedsverfahren: Domain fritz.box gehört jetzt offiziell AVM
14.05.24 - Apple & Google: Gemeinsamer Standard gegen Stalking
13.05.24 - Samsung Galaxy: Mai-Sicherheitspatch für diese Flaggschiffe
07.05.24 - Google: Zweifaktor-Authentifizierung ohne Handynummer
29.04.24 - WLAN-Sicherheit: So schützen Sie Ihr Heimnetz
25.04.24 - Login: WhatsApp für iOS dank Passkeys jetzt sicherer
25.04.24 - Google One VPN: Termin für Abschaltung steht fest
25.04.24 - TikTok setzt süchtig machendes Belohnungs-System aus
24.04.24 - Bundesbank-Chef: Das bringt der digitale Euro wirklich
22.04.24 - EU-Prüfung: Ist TikTok für die Psyche gefährlich?
20.04.24 - Vorsicht Betrug: App installiert - Bankkonto leer
15.04.24 - So schützen Sie sich vor Betrugsmaschen am Telefon
14.04.24 - Festplatten, SSD und Handy: So löschen Sie Ihre Daten richtig
13.04.24 - Identitätsdiebstahl: So können Sie sich schützen
12.04.24 - Google stellt VPN-Dienst ein: Das ist der Grund
11.04.24 - Neue E-Perso-PIN darf nicht digital übermittelt werden
11.04.24 - Fahrrad smart machen - mit diesem Zubehör
10.04.24 - Juice Jacking: Wenn der Handy-Ladestopp zur Datenfalle wird
07.04.24 - Spyware, Cookies, Internetspuren: So schützen Sie Ihre Daten
04.04.24 - "Frank geht ran": Telefonnummern schützen vor Werbung
02.04.24 - Suchmaschinen: Tipps zur Suche mit Google, Bing & Co.
01.04.24 - Sind alternative YouTube-Apps illegal?
27.03.24 - Telegram Premium: Kostenloses Abo gegen OTP-SMS
26.03.24 - Samsung Galaxy S24: April-Patch startet bereits jetzt
23.03.24 - Android und iOS: Handy gegen obszöne Fotos abschotten
21.03.24 - EuGH: Neue Verordnung für Fingerabdrücke auf Perso nötig
19.03.24 - Höhere IT-Sicherheit - dafür weniger neue Autos?
14.03.24 - Telekom Sicherheitspaket L: VPN, Kinderschutz und mehr
14.03.24 - Drohender Eigentümerwechsel: Tiktok kündigt Widerstand an
13.03.24 - Kurze Leine für KI: EU beschließt "historisches" Regelwerk
10.03.24 - Gesichter-Suchmaschinen: Darum rechtlich bedenklich
07.03.24 - Freemailer und sichere E-Mail: Das müssen Sie wissen
06.03.24 - Bericht: Internetadresse fritz.box abgeschaltet
05.03.24 - Störung bei Meta: Facebook, Instagram und Threads betroffen
05.03.24 - Google fügt sich: Suchergebnisse weniger Google-lastig
05.03.24 - DMA der EU startet: Das ändert sich auf unseren Smartphones
05.03.24 - Unterwegs in fremden Netzen: 5 Hotspot-Sicherheitsregeln
03.03.24 - Festplatten und SSDs sicher löschen
28.02.24 - Telekom Bling-Tarif: 12 GB für 15 Euro und Internet-Filter
mehr…