CCC warnt vor unsicherer SMS-2FA: Codes wurden im Internet veröffentlicht
Der Chaos Computer Club (CCC) warnt davor, die Zwei-Faktor-Authentifizierung (2FA) mittels SMS zu verwenden. In einer aktuellen Warnung weist der Verein für Computersicherheit darauf hin, dass diese Methode unsicher ist und ein zusätzliches Angriffsszenario ermöglicht.
Die Zwei-Faktor-Authentifizierung wird empfohlen, um Online-Accounts optimal zu schützen. Durch die Verwendung dieser zusätzlichen Sicherheitsstufe ist es erforderlich, neben dem Passwort auch einen Code zur Anmeldung einzugeben. Dieser Code wird entweder per SMS oder über eine Authentifizierungs-App an den Accountinhaber gesendet. Dadurch reicht es nicht mehr aus, lediglich das Passwort zu kennen, um sich in ein Onlinekonto einzuloggen.
Allerdings besteht die Gefahr, dass Angreifer SMS-Nachrichten abfangen und die Codes einsehen können. Dies kann entweder durch SIM-Swapping oder Attacken auf den Telekommunikationsstandard SS7 geschehen. Beim SIM-Swapping versuchen die Angreifer, die Kontrolle über die SIM-Karte zu erlangen und somit die Telefonnummer und Identität des Opfers zu übernehmen.
Der CCC präsentiert in einem Bericht eine weitere Methode, um die Unsicherheit von SMS-basierten Einmalkennwörtern für die Zwei-Faktor-Authentifizierung aufzuzeigen. Viele Unternehmen, die 2FA anbieten, nutzen einen SMS-Dienstleister für den Versand der Codes. Laut den Sicherheitsforschern konnten sie bei dem Anbieter IdentifyMobile fast 200 Millionen 2FA-Codes einsehen. Die Codes wurden in Echtzeit im Internet veröffentlicht, da der SMS-Versender die Sicherheitscodes nicht ausreichend geschützt hat. Durch das Erraten einer Subdomain (idmdatastore) konnten die Forscher die Einmalkennwörter, Rufnummern und Absendernamen einsehen.
Es ist offensichtlich, dass der Dienstleister in diesem Fall grob fahrlässig gehandelt und es versäumt hat, sensible Kundendaten ausreichend zu schützen. Der CCC gibt an, dass über 200 Unternehmen wie Amazon, DHL und Facebook mit IdentifyMobile zusammenarbeiten. Es ist derzeit unklar, ob auch Kriminelle Zugriff auf die Daten hatten.
Um die Sicherheit des Accounts zu erhöhen, empfiehlt es sich, die Option zur Versendung des 2FA-Codes per SMS zu deaktivieren und stattdessen eine App wie Google Authenticator zu nutzen, die die Codes lokal auf dem Gerät generiert. Eine alternative Möglichkeit ist die Verwendung eines Passkeys, um die Account-Sicherheit zu erhöhen.
Schlagwörter: SMS + CCC + Authentifizierungs-App
Wie bewerten Sie den Schreibstil des Artikels?