Dass Mobilfunk im Allgemeinen und SMS im Speziellen nicht unbedingt zu den sichersten Technologien gehören, haben Sicherheitsforscher über die Jahre immer wieder eindrücklich demonstriert. Von SIM-Swapping bis zur Ausnutzung grundlegender Protokollschwächen – wie es bei SS7-Attacken der Fall ist – reichen die Methoden, um Anrufe und Textnachrichten abzufangen. Bei Motherboard ist man nun auf einen weiteren Weg gestoßen, und dieser schockiert vor allem dadurch, wie einfach und günstig er umzusetzen ist.

Trickreich

Für ein paar Dollar ist es einem Angreifer möglich, für eine andere Person bestimmte SMS abzufangen. Und das im Geheimen, die Zielperson bemerkt davon zunächst nichts. Der Angreifer kann in der Folge auch problemlos selbst Nachrichten über die auf diese Art übernommene Nummer verschicken.

Möglich wird dies durch eigentlich für Unternehmen gedachte Tools: Über solche Spezialsoftware können diese massenhaft und automatisiert SMS verschicken. Damit das funktioniert, tragen sie eine eigene Absendenummer ein, über die sie auch Nachrichten empfangen können. Wie sich nun zeigt, findet hier zum Teil keine Überprüfung statt – wer Zugriff auf das richtige Tool hat, kann hier einfach die Nummer einer Zielperson eintragen, um deren SMS-Aktivitäten komplett zu übernehmen. Im konkreten Fall hat dies ein Hacker für Motherboard mithilfe eines Services der Firma Sakari demonstriert. Gerade einmal 16 US-Dollar kostet der günstigste Tarif für die Nutzung eines solchen Dienstes.

Zweiter Faktor

Eine Investition, die sich für Angreifer durchaus lohnen könnte. Denn während SMS zur Kommunikation mit anderen in Europa kaum mehr eine Rolle spielt, kommt es bei vielen Services weiter für die Zwei-Faktor-Authentifizierung zum Einsatz. Diese ist eigentlich dazu gedacht, Hackern das Leben schwerer zu machen, indem beim Login neben dem Passwort noch der erwähnte zweite Faktor zum Einsatz kommt. Ist dies ein Code, der via SMS an ein Mobiltelefon geschickt wird, dann lässt sich dieser auf dem besagten Weg problemlos abfangen. Der Schutz durch den zweiten Faktor ist also komplett ausgehebelt.

Angesichts dessen ist die aktuelle Entdeckung auch eine weitere Erinnerung daran, dass SMS für Zwei-Faktor-Authentifizierung nicht die optimale Wahl darstellt. Gerade eigene USB-Keys bieten hier eine deutlich bessere Sicherheit, da es dabei keine Codes zum Abfangen gibt. Und auch gegen Phishing-Versuche helfen sie, da sie vor der Autorisierung überprüfen, ob die abfragende Website auch die richtige ist. Allerdings werden USB-Keys nur von wenigen Anbietern als alleinige Option unterstützt, oft muss erst recht wieder eine Telefonnummer als Back-up angegeben werden, was sich dann Angreifer wieder zunutze machen könnten. (apo, 16.03.2021)