Gezieltes Abfangen von SMS erlaubt Bitcoin-Klau Gezieltes Abfangen von SMS erlaubt Bitcoin-Klau - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


19.09.2017 pte

Gezieltes Abfangen von SMS erlaubt Bitcoin-Klau

Beispiel zeigt Unsicherheit gängiger Zwei-Faktor-Authentifizierung.

Digi-Währung als Beispiel-Beute für Forscher.

Bitcoin als Beispiel-Beute für Forscher.

© geralt, pixabay.com

SMS sind kein ausreichend sicherer Kanal für Zwei-Faktor-Authentifizierung. Das haben Forscher des Sicherheitsspezialisten Positive Technologies mit einem spektakulären Beispiel nachgewiesen. Wie sie in einem Video zeigen, ist es durch Abfangen von SMS möglich, eine Bitcoin-Wallet der Handelsplattform Coinbase zu hacken. Möglich machen das grundlegende Schwachstellen im Mobilfunknetz.

Unsicherer Sicherheitsfaktor
Eine Zwei-Faktor-Authentifizierung mit zwei unabhängigen Kanälen soll eigentlich für mehr Sicherheit sorgen. Häufig, unter anderem auch im mTAN-Verfahren für das Online-Banking, kommen dabei SMS als ein Kanal zum Einsatz. Doch warnen Experten schon seit längerem, dass eben diese Kurznachrichten abgefangen werden könnten. Eben das haben die Positive-Technologies-Forscher jetzt anhand eines Beispiels bewiesen: Die Übernahme einer Coinbase-Wallet, die mit einem Gmail-Account verknüpft ist.

Für den Angriff mussten die Forscher Name und Telefonnummer ihres Test-Opfers kennen. Durch Ausnutzen grundlegender Schwächen in modernen Telekommunikationsnetzen war es ihnen möglich, eine Zeit lang sämtliche SMS an diese Nummer abzufangen. Das hat gereicht, um das Passwort des Gmail-Kontos zurückzusetzen und in weiterer Folge die Kontrolle über die Bitcoin-Wallet zu übernehmen. Ein echter Angreifer könnte diese einfach leerräumen, ehe es dem Besitzer vielleicht gelingt, die Kontrolle wiederzuerlangen. Da Transaktionen der Kryptowährung irreversibel sind, wären die Bitcoins für das Opfer unwiederbringlich verloren.

Telefonie als Grundproblem
Das Experiment macht sich keine Coinbase- oder Gmail-spezifische Sicherheitslücke zunutze. Vielmehr gelingt der Angriff aufgrund von teils seit Jahren bekannten und behebbaren Schwachstellen im Signalling System #7 (SS7), das grundlegende Bedeutung für die Signalisierung in Telekommunikationsnetzen hat. Entsprechend großes Potenzial haben SS7-Angriffe. "Dieser Hack würde für jede Ressource - echte oder virtuelle Währung - funktionieren, die SMS zur Passwortwiederherstellung verwendet", erklärt Positive-Forscher Dmitry Kurbatov gegenüber "Forbes".

Das vielleicht größte Hindernis für SS7-Angriffe ist, dass Kriminelle erst einmal Zugang zum SS7-Netzwerk bekommen müssen. Das Positive-Team selbst hatte diesen explizit für Forschungszwecke erhalten. Allerdings warnt Kurbatov, dass ein illegaler Zugang zum SS7 wohl im Darknet erworben werden könnte. Dass SS7-Attacken mehr als nur graue Theorie sind, ist seit diesem Jahr klar: In Deutschland waren O2-Kunden einem Angriff zum Opfer gefallen, bei dem Kriminelle auf Bankkonten aus waren.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: