Twitters Zwei-Faktor-Authentifizierung schon ausgehebelt

Es hätte ja so schön sein können: Doch die Zwei-Faktor-Authentifizierung, die Twitter erst vor wenigen Tagen eingeführt hat, lässt sich mittels SMS-Spoofing relativ leicht aushebeln.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 21 Beiträge
Von
  • Jan Schüßler

Die neue Sicherheitsfunktion des sozialen Netzwerks Twitter bietet nach Ansicht eines Sicherheitsexperten keinen ausreichenden Schutz vor gezielten Hackerangriffen. Die Maßnahme könnte mit einigem Know-How ausgehebelt werden, sagte Sean Sullivan vom Virenschutzanbieter F-Secure der dpa am Montag. "Ich sehe keinen Zusatznutzen in diesem zusätzlichen Aufwand, wenn Leute das ausschalten können", sagte er.

Twitter hatte nach mehreren Angriffen auf Accounts von Medien und Organisationen Ende vergangener Woche eine zusätzliche Sicherheitsstufe eingeführt. In einigen Ländern können Nutzer nun eine Zwei-Faktor-Authentifizierung verwenden. Dazu wird nach dem Einloggen eine Kennzahl per SMS an eine bei Twitter hinterlegte Handynummer verschickt, die dann ebenfalls eingetippt werden muss.

Doch dieser Schritt hat einen Haken, wie Sullivan in einem Blogeintrag beschreibt: Twitter bietet auch eine Funktion an, mit der Tweets per SMS auf dem Handy landen. Schafften es Angreifer, diese Option für die Zusendung von Tweets auszuschalten, würden auch die Sicherheits-SMS gestoppt. "Wenn jemand Sie wirklich angreifen will, kann er das ausschalten", sagte Sullivan.

Ein Angreifer muss dazu lediglich die Handy-Nummer des Opfers herausfinden und dann eine einfache SMS mit dessen gefälschter Nummer als Absender an Twitter schicken (SMS-Spoofing). Es gibt dafür Schnittstellen, die den SMS-Versand vom Computer aus ermöglichen – ob und wie das genau zu bewerkstelligen ist, hängt allerdings vom jeweiligen Mobilfunk-Provider ab.

Der beste Schutz sei weiterhin ein sicheres Passwort und Wachsamkeit gegenüber gefälschten E-Mails, die zur Passworteingabe verleiten sollen. Sullivan geht davon aus, dass Twitter an einer Verbesserung der Sicherheitsmaßnahmen arbeitet: "Ich bin mir sicher, dass die zweite oder dritte Stufe sehr viel solider sein wird." F-Secure nahm nach dem Test bereits Kontakt mit Twitter auf.

Wann die Zwei-Faktor-Authentifizierung für deutsche Accounts, die einen der deutschen Mobilfunk-Anbieter nutzen, bereitsteht, dazu macht Twitter bislang keine Angaben. Bei deutschen Accounts mit einer Mobilfunknummer eines deutschen Providers erhält man bei Auswahl der Login Verification eine Fehlermeldung. Jim O'Leary von Twitters Security-Team erklärte aber, dass die Firma auch an weiteren Wegen arbeite, um Twitter-Accounts sicherer zu machen und eine Zwei-Faktor-Authentifizierung auch über andere Wege als über SMS zu ermöglichen. Die Technik dafür stehe nach der Entwicklung für SMS bereit. (Mit Material von dpa) / (jss)