Twitters neue Authentifizierung ausgehebelt
Quelle: Twitter

Twitters neue Authentifizierung ausgehebelt

Kaum hat Twitter über die Einführung der "sicheren" Zwei-Faktor-Authentifizierung informiert, meldet sich auch schon ein Sicherheitsexperte, der es geschafft hat, das System zu umgehen.
28. Mai 2013

     

Noch keine Woche ist es her, seit Twitter die neue Zwei-Faktor-Authentifizierung in Betrieb genommen hat ("Swiss IT Magazine" berichtet), und bereits wurde eine Möglichkeit gefunden, das System auszuhebeln. Wie Sean Sullivan vom Security-Unternehmen F-Secure in einem Blogeintrag schreibt, hat er eine Schwachstelle gefunden, die es potentiellen Angreifern ermöglicht, die Authentifizierung zu deaktivieren. Einzige Bedingung: Die Handy-Nummer des Twitter-Users muss bekannt sein.


Das Vorgehen scheint nicht allzu kompliziert: Da Twitter SMS auch für den Versand von Tweets nutze, liesse sich dieser durch die Anweisung STOP unterbinden. Damit würde aber auch die Telefonnummer aus dem Konto entfernt und gleichzeitig die Zwei-Faktor-Authentifizierung ausgeschaltet. Die Telefonnummer des angegriffenen Twitter-Users liesse sich schliesslich durch einfaches SMS-Spoofing vortäuschen, so Sullivan.
Doch damit nicht genug: Der Angreifer könne via SMS-Spoofing eine Meldung mit dem Befehl GO senden, um dann eine neue Handy-Nummer zu hinterlegen, womit der eigentliche Konto-Besitzer ausgesperrt werden könnte. (rd)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER