07.12.2012, 00:00 Uhr

Twitter hat Lücke in SMS-Funktion endlich geschlossen

Eine Sicherheitslücke in der SMS-Funktion bei Twitter erlaubte Angreifern, den Nutzeraccount zu übernehmen. Nach monatelanger Verschleppung hat das Unternehmen nun die Spoofing-Lücke geschlossen. Twitter startete ursprünglich als SMS Dienst und führt diese Tradition mit einigen Erweiterungen bis heute fort, damit jeder Nutzer - egal ob über das Smartphone oder ein einfaches Handy - Tweets lesen und versenden kann.

Der Sicherheitsexperten und Entwickler Jonathan Rudenberg hat bereits im August 2012 herausgefunden, dass diese Funktion anfällig ist für Spoofing-Attacken. Ähnlich wie bei E-Mail lässt sich auch bei SMS die Absenderadresse fälschen. Ein Angreifer benötigt lediglich die Mobilfunknummer, die ein Nutzer für seinen Twitter-Account verwendet, und schon kann er auf das Konto des Opfers zugreifen. Es ist dann möglich, alle Befehle zu verwenden, die über SMS zur Verfügung stehen. Der Angreifer kann Nachrichten im Namen des Konto-Inhabers versenden oder Daten im Benutzerprofil ändern.
Empfänger dieser manipulierten Nachrichten können aufgrund der gestohlenen Absenderadresse nicht erkennen, dass es sich dabei um eine böswillige Täuschung handelt. Das Opfer selbst erfährt ebenfalls nicht, dass sein Konto übernommen wurde, da Twitter keine Überprüfung der SMS vornimmt. Dem Plattformbetreiber genügte bislang die Erkennung der Telefonnummer. Ein ähnliches Problem gab es bereits bei Facebook und Venmo. Allerdings handelten die Unternehmen schnell und schlossen die Lücke kurz nachdem sie informiert wurden.

Bei Twitter hat das einige Monate gedauert. Rudenberg hat mehrfach nachgefragt und schliesslich mit einer Veröffentlichung von Informationen zur Sicherheitslücke gedroht. Am 4. Dezember 2012 bestätigte Twitter dann, dass die Lücke geschlossen wurde. Allerdings betrifft das bisher offenbar nur Nutzer, die eine SMS-Kurznummer verwenden können. In Deutschland kommt dagegen die Langnummer +4915705000021 zum Einsatz. Rudenberg empfiehlt hier, die SMS-Funktion zusätzlich über eine PIN abzusichern, die Nutzer bei Twitter in den Einstellungen unter Mobiltelefon setzen können. Die PIN muss dann jeder Nachricht vorangestellt werden. (ph/com!)

Siehe auch: Papst Benedikt XVI. wird ab dem 12.12.12 unter @pontifex twittern,
 Twitter-Studie: Zwitschernde Verkäufer sind erfolgreicher , Hackangriff bei Twitter und kompromittierte Passwörter, Neue Twitter Profile Pages, Neue Vollansichten bei Twitter, auf Facebook-Kurs?
Artikel drucken
(OPC) Redaktion
Das könnte Sie auch interessieren
#LockedShields2024 vor 6 Tagen
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
vor 6 Tagen
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024
World Cybercrime Index 11.04.2024
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend.
 
11.04.2024