SMS-Tricks

Twitters Zwei-Faktor-Authentifizierung ist unsicher

Kaum hat Twitter die Zwei-Faktor-Authentifizierung eingeführt, um mehr Sicherheit zu bieten, haben Sicherheitsforscher auch schon einen Weg gefunden, wie sie überlistet werden kann.

© Twitter

Twitters Zwei-Faktor-Authentifizierung ist unsicher

Erst vor einer Woche hat das soziale Netzwerk Twitter die Zwei-Faktor-Authentifizierung eingeführt. Sie soll Nutzer besser vor Angriffen auf ihr Twitter-Konto schützen, nachdem unter anderem das Twitter-Konto der Nachrichtenagentur AP gekapert worden war. Doch Sean Sullivan, Sicherheitsforscher bei F-Secure, zeigt erhebliche Schwächen der Schutzfunktion auf.

Sullivan berichtet im Blog des finnischen Antivirusherstellers, dass der auf SMS basierende Kontoschutz relativ leicht ausgehebelt werden kann. Wer etwa ins Ausland reist und daher die SMS-Funktion zum Empfang von Tweets aus Kostengründen abschaltet, deaktiviert damit auch die Zwei-Faktor-Authentifizierung.

Um die Funktion zum Senden und Empfangen der Tweets abzuschalten, genügt es eine SMS mit dem Text "STOP" an Twitter zu senden. Dadurch wird die Mobilnummer aus dem Twitter-Konto entfernt. Das kann auch ein Angreifer erreichen, der die Handynummer seines Opfers kennt. Er muss nur eine STOP-SMS senden und dabei die Mobilfunknummer des Opfers als Absender vortäuschen (Spoofing).

Doch schlimmer noch: ein Angreifer, der sich auf anderem Wege, etwa wie bei AP durch Social Engineering, Zugriff auf ein Twitter-Konto verschafft hat, kann den rechtmäßigen Benutzer aussperren. Dazu richtet er die (noch nicht aktivierte) Zwei-Faktor-Authentifizierung so ein, dass er eine beliebige Handynummer einträgt. Die Bestätigungs-SMS erhält der rechtmäßige Nutzer nie. Er kann den Zugriff auf sein Konto nicht ohne die Hilfe des Twitter-Support wiedererlangen.

Twitter-Nutzer sollten daher, so Sullivans Tipp, die Zwei-Faktor-Authentifizierung einrichten, bevor es jemand anderes für sie tut. Das Spoofing der Handynummer des Opfers funktioniert nicht, wenn der Netzbetreiber in der Liste der von Twitter unterstützten Carrier steht und eine Kurzrufnummer (short code) für Twitter anbietet. Deutsche Netzbetreiber stehen jedoch nicht auf dieser Liste.

Mehr zum Thema

Avira-Umfrage

Die Ergebnisse einer Umfrage des Antivirusherstellers Avira zeigen, dass sich die Mehrheit der Befragten Sorgen um ihre Sicherheit und Privatsphäre in…
Börsenkurse abgesackt

Online-Kriminelle haben ein Twitter-Konto der US-Nachrichtenagentur AP übernommen und eine Falschmeldung über ein Attentat im Weißen Haus verbreitet.
Entschuldigung von Twitter

Der britische Chef von Twitter - Tony Wang - entschuldigte sich bei seinen Userinnen für die Bedrohungen und Beleidigungen, die sie ertragen mussten.
Account-Sicherheit

Twitter erweitert die Zwei-Faktor-Authentifizierung aus SMS-Code und E-Mail-Konto für die Anmeldung um eine App-Verifizierung.
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!