SMS für Zwei-Faktor-Authentifizierung: eine noch schlechtere Sicherheitsmethode als ihr Ruf

 (ccc.de)
2 Punkte von GN⁺ 2024-07-12 | 1 Kommentare | Auf WhatsApp teilen

  • Einmalpasswörter und SMS

    • Einmalpasswörter werden oft per SMS verschickt
    • Sicherheitsforscher des CCC erhielten in Echtzeit Zugriff auf mehr als 200 Millionen SMS-Nachrichten, die von über 200 Unternehmen versendet wurden

  • Zwei-Faktor-Authentifizierung per SMS (2FA-SMS)

    • 2FA-SMS ist eine Methode, um die Sicherheit der Authentifizierung zu erhöhen
    • Zusätzlich zu einem statischen Passwort ist ein dynamischer, per SMS gesendeter Code erforderlich
    • Nutzer müssen diesen Code beim Login eingeben; damit weisen sie sowohl das Passwort (erster Faktor: Wissen) als auch den Zugriff auf die Telefonnummer (zweiter Faktor: Besitz) nach
    • Mit einem gestohlenen Passwort allein lässt sich das Konto eines Nutzers nicht übernehmen

  • Bekannte Angriffsvektoren

    • Angreifer können SMS-Nachrichten per SIM-Swapping oder über SS7-Schwachstellen in Mobilfunknetzen abfangen
    • Durch Phishing-Angriffe können Nutzer dazu gebracht werden, ihre Einmalpasswörter preiszugeben
    • Der CCC empfiehlt seit 2013 nicht mehr, SMS als zweiten Faktor zu verwenden
    • Dennoch ist 2FA-SMS weit verbreitet und bietet mehr Sicherheit als eine reine Passwort-Authentifizierung

  • Jetzt auch online einsehbar!

    • Der CCC demonstriert einen bislang übersehenen Angriff auf 2FA-SMS
    • Dienstleister versenden große Mengen an SMS für verschiedene Unternehmen und Services und können auf deren Inhalte zugreifen
    • Damit hängt die Sicherheit des Authentifizierungsprozesses von der Sicherheit dieser Anbieter ab

  • Der Fehler von IdentifyMobile

    • IdentifyMobile teilte Einmalpasswörter in Echtzeit im Internet
    • Der CCC konnte zufällig auf diese Daten zugreifen
    • Es genügte, die Subdomain „idmdatastore“ zu erraten
    • Neben den SMS-Inhalten waren auch die Telefonnummern der Empfänger, Absendernamen und weitere Kontoinformationen sichtbar

  • 200 Millionen SMS von über 200 Unternehmen

    • Betroffen waren mehr als 200 Unternehmen, darunter Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx und DHL
    • Insgesamt wurden 198 Millionen SMS offengelegt
    • Schon das bloße Beobachten des Echtzeit-Feeds hätte es ermöglicht, WhatsApp-Nummern zu übernehmen, Finanztransaktionen auszuführen oder sich mit bekanntem Passwort bei verschiedenen Diensten anzumelden

  • (Noch) keine Katastrophe

    • Um SMS-Codes zu missbrauchen, ist in der Regel zusätzlich das Passwort nötig
    • Allerdings waren in den Daten auch „1-Klick-Login“-Links enthalten
    • Bei einigen großen Unternehmen waren nur die einzelnen Services betroffen, die von IdentifyMobile geschützt wurden
    • Durch die Nachlässigkeit von IdentifyMobile wurden Unternehmen und Kunden einem großen Risiko ausgesetzt
    • Datenschutzabteilungen werden weltweit mit ähnlichen Anfragen überschwemmt

  • Wir haben die Daten nicht gespeichert

    • Es lässt sich jedoch nicht ausschließen, dass andere darauf zugegriffen haben

  • 2FA-SMS ist besser als gar nichts, aber man sollte andere Methoden verwenden

    • Sicherer und unabhängig vom Mobilfunknetz sind Einmalpasswörter aus Apps oder Hardware-Token
    • Wenn diese Option verfügbar ist, wird empfohlen, sie zu verwenden
    • Und jeder zweite Faktor ist besser als ein bloßes Passwort

Zusammenfassung von GN⁺

  • Dieser Artikel behandelt die Sicherheitslücken SMS-basierter Zwei-Faktor-Authentifizierung
  • Durch einen Fehler von IdentifyMobile wurden mehr als 200 Millionen SMS offengelegt, was für viele Unternehmen und Kunden ein großes Risiko darstellt
  • 2FA-SMS ist sicherer als ein einfaches Passwort, aber appbasierte Einmalpasswörter oder Hardware-Token sind die bessere Wahl
  • Der Artikel ist nützlich für alle, die sich für Sicherheit interessieren, und warnt vor den Risiken SMS-basierter Authentifizierung

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-12
Hacker-News-Kommentare

  • Jemand berichtet von einem Familienfreund, der Opfer eines Phishing-Angriffs wurde, der über Google Ads gelenkt wurde

    • Der Angreifer schaltete Anzeigen für Suchbegriffe wie "BANKNAME login"
    • Auf der gefälschten Website wurde ein 2FA-Code eingegeben, danach wurde jedoch ein zweiter Code verlangt
    • Der zweite Code wurde verwendet, um einen neuen Empfänger für "pay anyone" hinzuzufügen
    • Am Ende ging Geld verloren, wurde später aber zurückerlangt

  • Jemand hat zwei Bankkonten, eines nutzt SMS-2FA und das andere eine App

    • Zunächst wurde angenommen, dass die App grundsätzlich sicherer sei, aber in bestimmten Situationen könnte SMS besser sein
    • Ideale 2FA würde je nach Transaktionstyp unterschiedliche Token erzeugen

  • Es besteht der Verdacht, dass Unternehmen, die SMS-2FA erzwingen, sich nicht um Sicherheit kümmern, sondern Telefonnummern haben wollen

    • NIST empfiehlt, keine SMS-2FA zu verwenden
    • Viele Banken erzwingen SMS-2FA, weil ihre Apps auf gerooteten Smartphones nicht laufen

  • Mit ChatGPT 4 wurde versucht, Screenshots von Bank-Websites zu analysieren, um Phishing zu erkennen

    • Nachdem ein einzelner Buchstabe in der URL geändert wurde, wurde dies als Phishing-Versuch erkannt
    • Das Modell könnte Screenshots automatisch analysieren und beurteilen, ob sie legitim sind oder nicht

  • Im Vereinigten Königreich werden fast alle Online-Banktransaktionen per SMS verifiziert

    • Das scheint gesetzlich vorgeschrieben zu sein
    • Das frühere System aus Karte + Kartenleser + PIN-Prüfung war sicherer
    • Es besteht die Hoffnung, dass erkannt wird, dass dieses System eine Fehlentscheidung ist, und es korrigiert wird

  • Im Artikel werden zwei unterschiedliche Sicherheitsprobleme miteinander vermischt

    • "1-click login"-Links sind bereits mit reinem SMS-Zugriff riskant
    • 2FA-Codes sind ein zweiter Faktor und daher weniger besorgniserregend, da zusätzlich ein Passwort erforderlich ist

  • Schweden löst dieses Problem mit BankID

    • Das wurde durch Zusammenarbeit zwischen öffentlichen und privaten Institutionen möglich
    • Es wird für Login und 2FA bei staatlichen Diensten und den meisten Banken verwendet
    • Es ist überraschend, dass andere Länder oder die gesamte EU kein solches System haben

  • Die Nachricht im S3-Bucket wird alle 5 Minuten aktualisiert

    • Nicht nur Twilio Verify (2FA API), sondern alle über diesen Anbieter versendeten SMS sind betroffen

  • Mehrere Finanzinstitute verlangen SMS-2FA und bieten keine HOTP-/TOTP-Option an