SMS-Tricks

Twitters Zwei-Faktor-Authentifizierung ist unsicher

Kaum hat Twitter die Zwei-Faktor-Authentifizierung eingeführt, um mehr Sicherheit zu bieten, haben Sicherheitsforscher auch schon einen Weg gefunden, wie sie überlistet werden kann.

News
Twitters Zwei-Faktor-Authentifizierung ist unsicher
Twitters Zwei-Faktor-Authentifizierung ist unsicher
© Twitter

Erst vor einer Woche hat das soziale Netzwerk Twitter die Zwei-Faktor-Authentifizierung eingeführt. Sie soll Nutzer besser vor Angriffen auf ihr Twitter-Konto schützen, nachdem unter anderem das Twitter-Konto der Nachrichtenagentur AP gekapert worden war. Doch Sean Sullivan, Sicherheitsforscher bei F-Secure, zeigt erhebliche Schwächen der Schutzfunktion auf.

Sullivan berichtet im Blog des finnischen Antivirusherstellers, dass der auf SMS basierende Kontoschutz relativ leicht ausgehebelt werden kann. Wer etwa ins Ausland reist und daher die SMS-Funktion zum Empfang von Tweets aus Kostengründen abschaltet, deaktiviert damit auch die Zwei-Faktor-Authentifizierung.

Um die Funktion zum Senden und Empfangen der Tweets abzuschalten, genügt es eine SMS mit dem Text "STOP" an Twitter zu senden. Dadurch wird die Mobilnummer aus dem Twitter-Konto entfernt. Das kann auch ein Angreifer erreichen, der die Handynummer seines Opfers kennt. Er muss nur eine STOP-SMS senden und dabei die Mobilfunknummer des Opfers als Absender vortäuschen (Spoofing).

Doch schlimmer noch: ein Angreifer, der sich auf anderem Wege, etwa wie bei AP durch Social Engineering, Zugriff auf ein Twitter-Konto verschafft hat, kann den rechtmäßigen Benutzer aussperren. Dazu richtet er die (noch nicht aktivierte) Zwei-Faktor-Authentifizierung so ein, dass er eine beliebige Handynummer einträgt. Die Bestätigungs-SMS erhält der rechtmäßige Nutzer nie. Er kann den Zugriff auf sein Konto nicht ohne die Hilfe des Twitter-Support wiedererlangen.

Twitter-Nutzer sollten daher, so Sullivans Tipp, die Zwei-Faktor-Authentifizierung einrichten, bevor es jemand anderes für sie tut. Das Spoofing der Handynummer des Opfers funktioniert nicht, wenn der Netzbetreiber in der Liste der von Twitter unterstützten Carrier steht und eine Kurzrufnummer (short code) für Twitter anbietet. Deutsche Netzbetreiber stehen jedoch nicht auf dieser Liste.

29.5.2013 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Avira Logo

Avira-Umfrage

Nutzer fühlen sich in sozialen Netzwerken unsicher

Die Ergebnisse einer Umfrage des Antivirusherstellers Avira zeigen, dass sich die Mehrheit der Befragten Sorgen um ihre Sicherheit und Privatsphäre in…

Die Nachrichtenagentur AP wurde Opfer von Kriminellen.

Börsenkurse abgesackt

Twitter-Konto der Nachrichtenagentur AP gekapert

Online-Kriminelle haben ein Twitter-Konto der US-Nachrichtenagentur AP übernommen und eine Falschmeldung über ein Attentat im Weißen Haus verbreitet.

Der Chef von Twitter entschuldigte sich bei beleidigten Nutzerinnen.

Entschuldigung von Twitter

Twitter-Chef entschuldigt sich für Beleidigungen gegenüber…

Der britische Chef von Twitter - Tony Wang - entschuldigte sich bei seinen Userinnen für die Bedrohungen und Beleidigungen, die sie ertragen mussten.

Twitter kombiniert Zwei-Faktor-Authentifizierung mit App-Verifizierung.

Account-Sicherheit

Twitter ergänzt Zwei-Faktor-Authentifizierung mit…

Twitter erweitert die Zwei-Faktor-Authentifizierung aus SMS-Code und E-Mail-Konto für die Anmeldung um eine App-Verifizierung.

E-Mails am PC: nicht immer sicher!

"Ihre Aktion ist erforderlich"

Warnung vor Paypal-Phishing mit echten Daten

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!