rC3: Massive Schwachstellen in Apps von Mobilfunkanbietern

Inhaltsverzeichnis

Florian Schweitzer hat auf dem remote Chaos Communication Congress (rC3) seine persönliche Sammlung an Schwachstellen im Bereich Cross Site Request Forgery (CSRF) in Web-Applikationen österreichischer Mobilfunkanbieter präsentiert. Die auch als "Session Riding" oder "Sea Surf" bekannten Sicherheitslücken und darauf basierende Angriffe bezeichnete der Hacker als "besonders dramatisch", da sie "sehr einfach auszunutzen" seien.

Simpler Angriff, schwer zu entdecken

Anders als bei Attacken auf das bei 3G eingesetzte Signalling System 7 (SS7) seien bei CSRF kein Zugang zu einem Gateway und kein Know-how über den Netzbetrieb nötig, führte der Hacker aus. Sea-Surf-Angriffe könnten etwa mit einem "langweiligen, nervigen Newsletter" anfangen. Ein Klick auf einen darin enthaltenen vermeintlich erlösenden "Unsubscribe"-Link reiche oft aus, damit ein Eindringling eine Rufumleitung bei einer Zielperson einrichten könne. Damit lassen sich etwa auch die Passwörter von E-Mail-Konten bei Anbietern wie Google, Yahoo oder Microsoft, die mit der Rufnummer verknüpft sind, zurücksetzen und die Accounts übernehmen.

Beim Abbestellen eines Newsletters erscheine auf dem Bildschirm des Nutzers nur eine Webseite, wonach man sich erfolgreich abgemeldet habe, erläuterte Schweitzer die Vorgehensweise. Wenn man dann versuche, sich bei seinem E-Mail-Postfach anzumelden, sei man ausgesperrt. Wer dann eine Verbindung zu dem aufgerufenen Link herstelle, könne im Sourcecode der aufgeploppten Seite eventuell ein Formular mit zwei unsichtbaren Feldern ausmachen.

Eines davon richte sich an die Seite des Mobilfunkanbieters, wo automatisch eine neue Telefonnummer eingetragen und die Rufumleitung im Hintergrund gesetzt werde, berichtete der Aktivist. Dabei werde ein unsichtbares iframe geladen und beim Öffnen des Links auch automatisch abgesendet. Google und andere E-Mail-Anbieter bewegen die Nutzer zudem dazu, angeblich zum Schutz ihres Kontos eine Mobilfunknummer zu hinterlegen, um dem Vergessen eines Passwortes vorzubeugen. So lasse sich auch ein solcher Account zurücksetzen.

Kein neues Problem

CSRF an sich ist laut Schweitzer nichts Neues und schon in den 1980ern als "Confused Deputy"-Problem beschrieben worden. Im Prinzip bringe ein Programm mit weniger Privilegien ein zweites mit mehr Rechten dazu, etwas auszuführen. Die Authentifizierung könne dabei auch mit IP-Adressen erfolgen. Der Angreifer schicke dabei einen Link und bringe so den Nutzer dazu, eine kompromittierte Seite zu besuchen. Diese sende einen Get-Request und erhalte die Nutzlast etwa in Form eines Formulars zurück. Dieses werde abgeschickt an eine andere Seite, wo die Zielperson bereits authentifiziert sei. Der Server glaube dann, dass das Opfer den Befehl oder die Anfrage geschickt habe und führe die gewünschte Aktion aus.

In Demos führte der Sicherheitsexperte vor, wie sich einschlägige Lücken bei österreichischen Providern ausnutzen lassen. Als anfällig erwies sich etwa Ventocom, ein Anbieter, der es Dritten ermöglicht, eine eigene Mobilfunkmarke zu betreiben. Von diesem Angebot machen etwa Rapid Mobile, ein Linzer Kabelbetreiber sowie die Aldi-Süd-Tochter Hofer Telekom (HoT) Gebrauch. Allein letztere hat in Österreich über eine Million, in Slowenien rund hunderttausend SIM-Karten ausgegeben.

Der Kundenlogin auf hot.at erfolgt passwortfrei über einen PuK-Code, den man sich etwa per E-Mail schicken lassen kann. Im internen Bereich lassen sich alle möglichen Änderungen vornehmen, etwa auch des Kundenkennworts. Dafür muss man das alte eingeben. Wenn man eine neue E-Mail-Adresse eingibt oder eine Rufumleitung einrichtet, ist dies aber nicht erforderlich. Der Angreifer kann so über einen gefälschten Newsletter mit dem problematischen Link ein von ihm kontrolliertes elektronisches Postfach eintragen und erhält dorthin einen Zugangslink.

Verbesserter Schutz in Chrome

Schweitzer zeigte auch die weiteren Schritte mit der Rufumleitung, der Passwortänderung bei Google übers Telefon und der Übernahme auch eines Gmail-Kontos. Für hot.at sei dabei schon ein gültiges Session-Cookie im Browser der Zielperson vorhanden, das den Zugang zum Kundenaccount öffne. Der im Hintergrund laufende Post-Request über ein iframe funktioniere bei Safari, Firefox, Samsung Internet, Opera und Internet Explorer, wo sich dann sogar Telefonate komplett mitschneiden ließen. Chrome habe Mitte 2019 mit dem "SameSite-Attribut" für Cookies striktere Regeln eingeführt und so den Schutz vor CSRF deutlich verbessert.

Beim Anbieter "Drei" stieß der Hacker auf eine vergleichbare Schwachstelle, von der 3,9 Millionen Konten in Österreich betroffen seien. Wer über das Mobilfunknetz des Anbieters ins Internet gehe, werde sofort über seine Nummer identifiziert und könne sich immer automatisch in seinen Account einloggen. Dies lasse beim weiteren Vorgehen die Wahl zwischen einem gültigen Session-Cookie und dem standardmäßig aktivierten Auto-Login. Eine dauerhafte Kontoübernahme sowie ein Abhören sei hier aber nicht möglich, da das Einloggen aufgrund einer implementierten Funktion gegen "Clickjacking" immer nur bei einem aktuellen Klick funktioniere.

Auch bei der A1-Tochter Yesss, die als Dienstleister für zehn virtuelle Mobilfunkanbieter etwa der Zeitungen Kurier und Krone sowie eines Energielieferanten fungiere, fand Schweitzer solche Lücken. Davon seien über 5,4 Millionen Kunden betroffen gewesen. Da er hier – im Gegensatz zu den anderen Providern – einen Ansprechpartner für IT-Security gefunden habe, seien die Schwachstellen nach einem Hinweis von ihm inzwischen behoben worden. Ein Angreifer habe hier sogar ein Kundenkennwort für eine gesamte Rufnummerportierung setzen und etwa SMS lesen sowie Twitter-Konten zurücksetzen können. Die Web-App von T-Mobile Österreich (Magenta) sei "sicher" gewesen.

Dutzende Millionen Geräte in Europa anfällig

Schweitzer schätzt, dass von den Lücken insgesamt an die 40 Prozent der österreichischen Bürger betroffen (gewesen) seien. In ganz Europa dürften es Dutzende Millionen sein, da es dort wohl kaum besser aussehe. Anfällige Endpunkte ließen sich in kurzer Zeit ausmachen. Eigentlich sei es in der EU verboten, solche Angriffsflächen bei wichtigen Infrastrukturen zu bieten. Offenbar seien die Sanktionen aber zu niedrig und keiner prüfe, ob Sicherheitsstandards eingehalten würden. Jüngst war einem Leser von heise online auf der Webseite von Vodafone Deutschland eine Schwachstelle aufgefallen, die eine ähnliche Attacke per "Reflected Cross-Site-Scripting" erlaubte.

Der Experte empfiehlt Entwicklern, Anti-CSRF-Tokens zu implementieren, eine strenge "SameSite"-Regel zu setzen und eine Passwortabfrage bei wichtigen Änderungen an Kontendaten zu verlangen. Die "Same-Origin-Policy" von Browsern biete keine Abhilfe. Nutzer sollten ihre Telefonnummer nicht fürs Wiederherstellen von Konten verwenden, da Mobilfunkbetreiber dabei "das schwächste Glied in der Sicherheitskette" seien. In wichtige Account sollte man sich ferner nicht mit dem Standardbrowser einloggen, Auto-Logins deaktivieren und sich aktiv ausloggen.

(mho)