Noch keine Woche ist es her, seit
Twitter die neue Zwei-Faktor-Authentifizierung in Betrieb genommen hat ("Swiss IT Magazine"
berichtet), und bereits wurde eine Möglichkeit gefunden, das System auszuhebeln. Wie Sean Sullivan vom Security-Unternehmen F-Secure in einem
Blogeintrag schreibt, hat er eine Schwachstelle gefunden, die es potentiellen Angreifern ermöglicht, die Authentifizierung zu deaktivieren. Einzige Bedingung: Die Handy-Nummer des Twitter-Users muss bekannt sein.
Das Vorgehen scheint nicht allzu kompliziert: Da Twitter SMS auch für den Versand von Tweets nutze, liesse sich dieser durch die Anweisung STOP unterbinden. Damit würde aber auch die Telefonnummer aus dem Konto entfernt und gleichzeitig die Zwei-Faktor-Authentifizierung ausgeschaltet. Die Telefonnummer des angegriffenen Twitter-Users liesse sich schliesslich durch einfaches SMS-Spoofing vortäuschen, so Sullivan.
Doch damit nicht genug: Der Angreifer könne via SMS-Spoofing eine Meldung mit dem Befehl GO senden, um dann eine neue Handy-Nummer zu hinterlegen, womit der eigentliche Konto-Besitzer ausgesperrt werden könnte.
(rd)