SMS-Spoofing machte Social-Accounts angreifbar
öffentlich gemacht. Er hatte sich nach eigenen Angaben bereits im August an das Unternehmen gewandt und die Lage beschrieben. Bis auf Bitten, mit Informationen noch nicht an die Öffentlichkeit zu gehen, geschah allerdings erst einmal nichts. Wohl um den Druck auf die zuständigen Techniker zu erhöhen, veröffentlichte Rudenberg nun seine Erkenntnisse. Daraufhin wurde das Problem dann doch recht schnell gelöst.
Laut Rudenberg ist es bei vielen Accounts für Außenstehende kein Problem, Nachrichten via SMS zu posten, wenn der Kontoinhaber das entsprechende Feature bei Twitter aktiviert hat. Denn als Authentifizierung wurde lediglich die Absendernummer der SMS genutzt. Diese lässt sich allerdings leicht fälschen. Die meisten SMS-Gateways zum Versand von Kurzmitteilungen im Web bieten beispielsweise die Möglichkeit, die Absender-Nummer frei zu wählen.
Eine Möglichkeit, den Account abzusichern, bestand darin, eine PIN zu vergeben. Allerdings bot Twitter diese Option nicht in allen Regionen an - wie beispielsweise in den USA. Unter Kenntnis, welche Mobilfunknummer zu einem bestimmten Account gehörte, war es so möglich, Statusmeldungen zu posten und über Short-Codes auch Profileinstellungen zu ändern.
Twitter ist dabei aber nur ein Beispiel für die unzureichende Absicherung einer Schnittstelle zwischen dem SMS-Dienst und Social Media-Plattformen. Auch Facebook war beispielsweise betroffen. Dessen Sicherheits-Abteilung reagierte allerdings auf Rudenbergs Hinweis - aber auch erst, nachdem dieser einen Bekannten, der selbst bei dem Social Network arbeitet, direkt darauf ansprach.
Die Sicherheitslücke dürfte hierzulande, wo die meisten Nutzer unterwegs via Smartphone und Mobile Internet auf ihre sozialen Plattformen zugreifen, kaum ein Problem darstellen. Anders sieht dies allerdings in ärmeren Ländern aus, in denen vielen Nutzern nur GSM zur Verfügung steht und häufig Gebrauch von entsprechenden Features gemacht wird. Die Schnittstelle konnte so beispielsweise genutzt werden, um Spam zu verbreiten oder aber gezielt einzelnen Nutzern durch das Posten von gefälschten Meldungen zu schaden.
Grundsätzlich berührt das Problem auch die Kommunikation von Handynutzern mit ihren Netzbetreibern, so der Sicherheitsexperte. Denn hier können netzseitige Funktionen wie etwa die Konfiguration der Mailbox oft mit SMS-Shortcodes gesteuert werden. Eine Lösung würde hier laut Rudenberg darin bestehen, eine Sicherheits-Anfrage an den Kunden zurückzuschicken und einen Befehl erst zu verarbeiten, wenn diese bestätigt wurde.
Der Sicherheitsexperte Jonathan Rudenberg hat nun ein entsprechendes Problem bei Twitter Laut Rudenberg ist es bei vielen Accounts für Außenstehende kein Problem, Nachrichten via SMS zu posten, wenn der Kontoinhaber das entsprechende Feature bei Twitter aktiviert hat. Denn als Authentifizierung wurde lediglich die Absendernummer der SMS genutzt. Diese lässt sich allerdings leicht fälschen. Die meisten SMS-Gateways zum Versand von Kurzmitteilungen im Web bieten beispielsweise die Möglichkeit, die Absender-Nummer frei zu wählen.
Eine Möglichkeit, den Account abzusichern, bestand darin, eine PIN zu vergeben. Allerdings bot Twitter diese Option nicht in allen Regionen an - wie beispielsweise in den USA. Unter Kenntnis, welche Mobilfunknummer zu einem bestimmten Account gehörte, war es so möglich, Statusmeldungen zu posten und über Short-Codes auch Profileinstellungen zu ändern.
Twitter ist dabei aber nur ein Beispiel für die unzureichende Absicherung einer Schnittstelle zwischen dem SMS-Dienst und Social Media-Plattformen. Auch Facebook war beispielsweise betroffen. Dessen Sicherheits-Abteilung reagierte allerdings auf Rudenbergs Hinweis - aber auch erst, nachdem dieser einen Bekannten, der selbst bei dem Social Network arbeitet, direkt darauf ansprach.
Die Sicherheitslücke dürfte hierzulande, wo die meisten Nutzer unterwegs via Smartphone und Mobile Internet auf ihre sozialen Plattformen zugreifen, kaum ein Problem darstellen. Anders sieht dies allerdings in ärmeren Ländern aus, in denen vielen Nutzern nur GSM zur Verfügung steht und häufig Gebrauch von entsprechenden Features gemacht wird. Die Schnittstelle konnte so beispielsweise genutzt werden, um Spam zu verbreiten oder aber gezielt einzelnen Nutzern durch das Posten von gefälschten Meldungen zu schaden.
Grundsätzlich berührt das Problem auch die Kommunikation von Handynutzern mit ihren Netzbetreibern, so der Sicherheitsexperte. Denn hier können netzseitige Funktionen wie etwa die Konfiguration der Mailbox oft mit SMS-Shortcodes gesteuert werden. Eine Lösung würde hier laut Rudenberg darin bestehen, eine Sicherheits-Anfrage an den Kunden zurückzuschicken und einen Befehl erst zu verarbeiten, wenn diese bestätigt wurde.
Thema:
Beliebte Downloads
Neue Soziale-Netzwerke-Bilder
Videos zum Thema soziale Netzwerke
- Mehr als eine Kamerabrille? Die Ray-Ban-Meta-Smart Glasses im Test
- Super Bowl 2022: Meta schickt Animatronics ins Metaverse
- "Schnelle Lacher": Netflix kopiert TikTok und erweitert mobile Apps
- Super Bowl 2020: Das waren die besten Werbespots beim Sport-Event
- Super Bowl 2020: Facebook wirbt für sein Gruppen-Feature
Beiträge aus dem Forum
-
Facebook, Instagram, TikTok, X (EX-Twitter), Mastodon und Co:
el_pelajo -
Threads: die Twitter-Alternative startete heute auch in Deutschland
el_pelajo -
Bluesky - Threads - Mastodon - Twitter: Die Kurznachrichtendienste
el_pelajo -
Grok jetzt für erste Nutzer auf Twitter (X) freigeschaltet
el_pelajo -
Facebook-Konzern Meta geht mit einem Twitter-Konkurrenten an den Start
Ler-Khun
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- FritzBox wird heute 20 Jahre: Geschichte von 8 MBit/s bis 10 GBit/s
- Microsoft kündigt zweites Event an: Surface mit KI & ARM-CPUs kommt
- Es werde Licht: Forscher wollen einige der ersten Sterne entdeckt haben
- PS5 Pro mit Power-Modus für CPU: Details zur stärkeren PlayStation 5
- Spieler live gehackt: Turnier gestoppt, Gerüchte kursieren, EA schweigt
- Letzte Chance: Garmin-Smartwatches zum Bestpreis bei Media Markt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen