SMS-Tricks

Twitters Zwei-Faktor-Authentifizierung ist unsicher

Kaum hat Twitter die Zwei-Faktor-Authentifizierung eingeführt, um mehr Sicherheit zu bieten, haben Sicherheitsforscher auch schon einen Weg gefunden, wie sie überlistet werden kann.

Twitters Zwei-Faktor-Authentifizierung ist unsicher

© Twitter

Twitters Zwei-Faktor-Authentifizierung ist unsicher

Erst vor einer Woche hat das soziale Netzwerk Twitter die Zwei-Faktor-Authentifizierung eingeführt. Sie soll Nutzer besser vor Angriffen auf ihr Twitter-Konto schützen, nachdem unter anderem das Twitter-Konto der Nachrichtenagentur AP gekapert worden war. Doch Sean Sullivan, Sicherheitsforscher bei F-Secure, zeigt erhebliche Schwächen der Schutzfunktion auf.

Sullivan berichtet im Blog des finnischen Antivirusherstellers, dass der auf SMS basierende Kontoschutz relativ leicht ausgehebelt werden kann. Wer etwa ins Ausland reist und daher die SMS-Funktion zum Empfang von Tweets aus Kostengründen abschaltet, deaktiviert damit auch die Zwei-Faktor-Authentifizierung.

Um die Funktion zum Senden und Empfangen der Tweets abzuschalten, genügt es eine SMS mit dem Text "STOP" an Twitter zu senden. Dadurch wird die Mobilnummer aus dem Twitter-Konto entfernt. Das kann auch ein Angreifer erreichen, der die Handynummer seines Opfers kennt. Er muss nur eine STOP-SMS senden und dabei die Mobilfunknummer des Opfers als Absender vortäuschen (Spoofing).

Doch schlimmer noch: ein Angreifer, der sich auf anderem Wege, etwa wie bei AP durch Social Engineering, Zugriff auf ein Twitter-Konto verschafft hat, kann den rechtmäßigen Benutzer aussperren. Dazu richtet er die (noch nicht aktivierte) Zwei-Faktor-Authentifizierung so ein, dass er eine beliebige Handynummer einträgt. Die Bestätigungs-SMS erhält der rechtmäßige Nutzer nie. Er kann den Zugriff auf sein Konto nicht ohne die Hilfe des Twitter-Support wiedererlangen.

Twitter-Nutzer sollten daher, so Sullivans Tipp, die Zwei-Faktor-Authentifizierung einrichten, bevor es jemand anderes für sie tut. Das Spoofing der Handynummer des Opfers funktioniert nicht, wenn der Netzbetreiber in der Liste der von Twitter unterstützten Carrier steht und eine Kurzrufnummer (short code) für Twitter anbietet. Deutsche Netzbetreiber stehen jedoch nicht auf dieser Liste.

Mehr zum Thema

Die Nachrichtenagentur AP wurde Opfer von Kriminellen.
Börsenkurse abgesackt

Online-Kriminelle haben ein Twitter-Konto der US-Nachrichtenagentur AP übernommen und eine Falschmeldung über ein Attentat im Weißen Haus…
Der Chef von Twitter entschuldigte sich bei beleidigten Nutzerinnen.
Entschuldigung von Twitter

Der britische Chef von Twitter - Tony Wang - entschuldigte sich bei seinen Userinnen für die Bedrohungen und Beleidigungen, die sie ertragen mussten.
Twitter kombiniert Zwei-Faktor-Authentifizierung mit App-Verifizierung.
Account-Sicherheit

Twitter erweitert die Zwei-Faktor-Authentifizierung aus SMS-Code und E-Mail-Konto für die Anmeldung um eine App-Verifizierung.
Twitter, Vogel, Logo, Social Network
Social Network

Was anfangs wie ein Hackerangriff aussah entpuppte sich jetzt als Systemfehler: am Rosenmontag wurden hunderttausende Twitter-Nutzerpasswörter…
Twitter - NSA-Spionage
Wegen NSA-Spionage

Der Kurznachrichtendienst Twitter zieht gegen die US-Regierung vor Gericht. Mit diesem Schritt will das soziale Netzwerk mehr Transparenz schaffen.