SMS-Spoofing machte Social-Accounts angreifbar

Eine Reihe von Social Media-Plattformen bietet die Möglichkeit, von unterwegs auch Status­meldungen via SMS zu posten. Allerdings sind die Implementierungen der Schnittstellen oft nicht sicher. Der Sicherheitsexperte Jonathan Rudenberg hat nun ein entsprechendes Problem bei Twitter öffentlich gemacht. Er hatte sich nach eigenen Angaben bereits im August an das Unternehmen gewandt und die Lage beschrieben. Bis auf Bitten, mit Informationen noch nicht an die Öffentlichkeit zu gehen, geschah allerdings erst einmal nichts. Wohl um den Druck auf die zuständigen Techniker zu erhöhen, veröffentlichte Rudenberg nun seine Erkenntnisse. Daraufhin wurde das Problem dann doch recht schnell gelöst.

Laut Rudenberg ist es bei vielen Accounts für Außenstehende kein Problem, Nachrichten via SMS zu posten, wenn der Kontoinhaber das entsprechende Feature bei Twitter aktiviert hat. Denn als Authentifizierung wurde lediglich die Absendernummer der SMS genutzt. Diese lässt sich allerdings leicht fälschen. Die meisten SMS-Gateways zum Versand von Kurzmitteilungen im Web bieten beispielsweise die Möglichkeit, die Absender-Nummer frei zu wählen.

Eine Möglichkeit, den Account abzusichern, bestand darin, eine PIN zu vergeben. Allerdings bot Twitter diese Option nicht in allen Regionen an - wie beispielsweise in den USA. Unter Kenntnis, welche Mobilfunknummer zu einem bestimmten Account gehörte, war es so möglich, Statusmeldungen zu posten und über Short-Codes auch Profileinstellungen zu ändern.

Twitter ist dabei aber nur ein Beispiel für die unzureichende Absicherung einer Schnittstelle zwischen dem SMS-Dienst und Social Media-Plattformen. Auch Facebook war beispielsweise betroffen. Dessen Sicherheits-Abteilung reagierte allerdings auf Rudenbergs Hinweis - aber auch erst, nachdem dieser einen Bekannten, der selbst bei dem Social Network arbeitet, direkt darauf ansprach.

Die Sicherheitslücke dürfte hierzulande, wo die meisten Nutzer unterwegs via Smartphone und Mobile Internet auf ihre sozialen Plattformen zugreifen, kaum ein Problem darstellen. Anders sieht dies allerdings in ärmeren Ländern aus, in denen vielen Nutzern nur GSM zur Verfügung steht und häufig Gebrauch von entsprechenden Features gemacht wird. Die Schnittstelle konnte so beispielsweise genutzt werden, um Spam zu verbreiten oder aber gezielt einzelnen Nutzern durch das Posten von gefälschten Meldungen zu schaden.

Grundsätzlich berührt das Problem auch die Kommunikation von Handynutzern mit ihren Netzbetreibern, so der Sicherheitsexperte. Denn hier können netzseitige Funktionen wie etwa die Konfiguration der Mailbox oft mit SMS-Shortcodes gesteuert werden. Eine Lösung würde hier laut Rudenberg darin bestehen, eine Sicherheits-Anfrage an den Kunden zurückzuschicken und einen Befehl erst zu verarbeiten, wenn diese bestätigt wurde. Smartphone, Iphone, Handy, Sms Stadt Hamburg