Der diesjährige Chaos Communication Congress bringt auch wieder allerlei sicherheitsrelevante Erkenntnisse mit Österreich-Bezug. Sicherheitsexperte Florian Schweitzer hat Lücken aufgespürt, dank denen sich vergleichsweise einfach Nutzerkonten übernehmen lassen.

Bei der Attacke wird im Prinzip die Session des Nutzers "gekapert", um Zugriff auf Accounts zu bekommen. Betroffen sind hier mehrere heimische Mobilfunkanbieter, darunter "3", "Yesss" und "Hot". Eine erfolgreiche Attacke lässt sich zudem weiterführen, um E-Mail-Konten bei Google, Microsoft und Co zu übernehmen, fasst Heise zusammen.

Angriff per Newsletter-Link

Einen Angriffsvektor bietet der Versand einer Mail an einen Nutzer, die nach außen wirkt wie ein gewöhnlicher Newsletter. Wer dort, – etwa in der Hoffnung, sich von selbigem abzumelden – auf einen Link klickt, findet sich auf einer Seite, die beispielsweise die gewünschte Abmeldung bestätigt. In weiterer Folge ist man plötzlich aus dem Mailkonto und beim Mobilfunker abgemeldet, weil der Angreifer die Kontrolle übernommen hat.

Voraussetzung für die Attacke ist, dass man gleichzeitig bei seinem Mailanbieter, als auch im Webportal des Telekomunternehmens angemeldet ist. Dazu muss man die Seite nicht gerade geöffnet haben, es reicht das Vorhandensein eines noch gültigen "Session Cookies" im Browser. Das ermöglicht es der manipulierten Website hinter dem Newsletterlink, mit der Übermittlung eines Befehls, der eine Usereingabe simuliert, die Rufnummernumleitung mit einer beliebigen Nummer zu aktivieren. Auf dem selben Wege fordert die Seite dann auch einen Rücksetzungslink bzw. Logincode beim Mailanbieter per SMS oder Anruf an, um die Sicherheitsschranken dort einfach zu umgehen.

Teilweise umfassende Abhörung möglich

Möglich machen den Angriff, der laut Schweitzer einfach ausführbar ist, sich aber nur schwer entdecken lässt, zwei Dinge. Erstens: Diverse Mailanbieter bieten die Eintragung einer Handynummer als Kanal für Zwei-Faktor-Authentifizierung und/oder Passwort-Reset. Zweitens: Die Seiten der betroffenen Mobilfunker sichern zwar den Login und verschiedene Einstellungsoptionen in ihren Portalen mit PUK-Eingabe und Kundenpasswort ab, gerade aber die Einrichtung der Rufnummernumleitung klappt nach dem Einloggen aber ohne weiterer Authentifizierung.

Bei einigen Browsern, etwa Firefox, Safari und Internet Explorer, wäre es sogar möglich, über das Portal von Hot per "Fernanfragen" Telefonate mitzuschneiden. Einzig Chrome hat durch 2019 getroffene Sicherheitsmaßnahmen einen Teil des Angriffspotenzial bereits entschärft.

Hot behob Problem, dementiert Abhörmöglichkeit

Neben "Hot" sind bzw. waren auch diverse andere virtuelle Mobilfunker betroffen, welche die Dienste von Ventocom in Anspruch nehmen. Dazu gehören unter anderem Liwest Mobil und Rapid Mobile. "Hot" hat in Österreich nach eigenen Angaben eine Million Kunden sowie rund 100.000 in Slowenien.

Mittlerweile wurde das Problem (auch für andere Mobilfunker, die über Ventocom laufen) allerdings durch die Implementation von Anti-CSRF-Tokens gelöst, so Schweitzer. Seitens Ventocom heißt es zudem gegenüber dem STANDARD, dass man aufgrund der Funktionsweise der GSM-Technologie nur nachvollziehen kann, wie Anrufe bei einem solchen Angriff per Umleitung an eine andere Rufnummer weitergeleitet werden können, nicht aber, wie eine Abhörung von Anrufen an die eigentliche Nummer möglich sei. Zudem gibt es auch keine Weiterleitung von SMS an fremde Rufnummern.

A1 reagierte schnell

Bei "3" (3,9 Millionen Accounts) hingegen stellt sich Angreifern das Loginproblem nicht, sofern der Nutzer gerade über die Mobilfunkverbindung surft bzw. sein Handy mit der SIM-Karte des Anbieters verwendet. Die zugehörige Nummer wird vom Webportal automatisch erkannt und Zugriff auf das Kundenkonto gewährt. Allerdings gibt es hier Sicherheitsmaßnahmen, die nur eine Befehlsübermittlung über den Newsletter-Link zulassen. Diese Maßnahme gegen sogenanntes "Clickjacking" verhindert eine permanente Übernahme des Mobilfunkkontos oder weitere Überwachung über dessen Onlineportal.

Sehr weitreichende Folgen hätte ein solcher Angriff bei der A1-Tochter Yesss haben können. Laut Schweitzer hätten Angreifer hier sogar Zugriff auf SMS und Twitter-Konten erlangen können. Betroffen habe die Schwachstelle hier auch MVNOs, für die Yesss als Dienstleister fungiert, beispielsweise Krone Mobil, Kurier Mobil und Simfonie, das zu Wien Energie gehört. Er habe aber bei A1 schnell einen Zuständigen für IT-Sicherheit erreichen und damit die Behebung der Schwachstellen erwirken können, sagt Schweitzer.

Möglicherweise Verstoß gegen EU-Vorgaben

Insgesamt, so schätzt der Security-Experte, dürften bzw. waren 40 Prozent der österreichischen Mobilfunknutzer von den Lücken betroffen. Er geht davon aus, dass wohl auch verschiedene Anbieter europaweit ähnliche Angriffsflächen bieten. Seiner Ansicht nach sei das ein Verstoß gegen Vorgaben, die Anbieter wichtiger Infrastruktur eigentlich zur grundlegenden Absicherung ihrer Systeme verpflichten. Er gibt weiters verschiedene Ratschläge, wie die Mobilfunker, als auch ihre Kunden, sich besser schützen können.

Quasi als lachender Dritter kommt Magenta aus der Causa heraus. Auch dort sei das Kundenportal auf solcherlei Angriffe geprüft worden. Wie sich herausstellte, war es dagegen aber gut abgesichert. (red, 31.12.2020)