Erst vor einer Woche hat das soziale Netzwerk Twitter die Zwei-Faktor-Authentifizierung eingeführt. Sie soll Nutzer besser vor Angriffen auf ihr Twitter-Konto schützen, nachdem unter anderem das Twitter-Konto der Nachrichtenagentur AP gekapert worden war. Doch Sean Sullivan, Sicherheitsforscher bei F-Secure, zeigt erhebliche Schwächen der Schutzfunktion auf.

Sullivan berichtet im Blog des finnischen Antivirusherstellers, dass der auf SMS basierende Kontoschutz relativ leicht ausgehebelt werden kann. Wer etwa ins Ausland reist und daher die SMS-Funktion zum Empfang von Tweets aus Kostengründen abschaltet, deaktiviert damit auch die Zwei-Faktor-Authentifizierung.

Um die Funktion zum Senden und Empfangen der Tweets abzuschalten, genügt es eine SMS mit dem Text "STOP" an Twitter zu senden. Dadurch wird die Mobilnummer aus dem Twitter-Konto entfernt. Das kann auch ein Angreifer erreichen, der die Handynummer seines Opfers kennt. Er muss nur eine STOP-SMS senden und dabei die Mobilfunknummer des Opfers als Absender vortäuschen (Spoofing).

Doch schlimmer noch: ein Angreifer, der sich auf anderem Wege, etwa wie bei AP durch Social Engineering, Zugriff auf ein Twitter-Konto verschafft hat, kann den rechtmäßigen Benutzer aussperren. Dazu richtet er die (noch nicht aktivierte) Zwei-Faktor-Authentifizierung so ein, dass er eine beliebige Handynummer einträgt. Die Bestätigungs-SMS erhält der rechtmäßige Nutzer nie. Er kann den Zugriff auf sein Konto nicht ohne die Hilfe des Twitter-Support wiedererlangen.

Twitter-Nutzer sollten daher, so Sullivans Tipp, die Zwei-Faktor-Authentifizierung einrichten, bevor es jemand anderes für sie tut. Das Spoofing der Handynummer des Opfers funktioniert nicht, wenn der Netzbetreiber in der Liste der von Twitter unterstützten Carrier steht und eine Kurzrufnummer (short code) für Twitter anbietet. Deutsche Netzbetreiber stehen jedoch nicht auf dieser Liste.