Twitter immer noch anfällig für SMS-Fälscher [Update]
In den USA hat Twitter angeblich ein Problem behoben, dass sich über SMS-Nachrichten mit gefälschter Absendernummer Twitter-Nachrichten fälschen lassen. Zumindest in Deutschland funktioniert das jedoch immer noch.
Twitter hat angeblich ein Problem behoben, das es ermöglichte, Twitter-Nachrichten über SMSe mit gefälschter Absendernummer zu erstellen, berichtet Brian Krebs von der Washington Post. In einem Test von heise Security funktionierte dies jedoch zumindest in Deutschland immer noch.
In den USA wird Twitter vor allem via SMS genutzt; die Anwender schreiben ihre Tweets als Handykurznachrichten, und Twitter stellt die abonnierten Tweets auch via SMS zu. In Deutschland kann man lediglich Nachrichten via SMS an eine Twitter-Telefonnummer senden (+49 17 6888 50505); an Handys in deutschen Mobilfunknetzen verschickt Twitter jedoch keine Nachrichten. Um via Handy zu twittern, muss man zunächst in den Einstellungen die eigene Telefonnummer eintragen und dann zur Bestätigung von dieser Adresse aus eine kurze Zeichenfolge an Twitter senden. Danach landet jede SMS, die von diesem Handy an die Twitter-Nummer geschickt wird, direkt als Status-Update im assoziierten Twitter-Account.
Das Problem ist, dass sich SMS-Absenderadressen beliebig fälschen lassen. Es gibt sogar Dienstleister, die diesen Service gegen Gebühr anbieten. Die seriösen kontrollieren über eine Test-SMS, ob man Zugriff auf das zugehörige Handy hat; andere überlassen die Wahl der Absenderadresse ganz dem Anwender. Mit einem solchen Dienst konnte ein Kollege diese Nachricht im kurzfristig mit einer Handynummer assoziierten heise-Security-Twitter-Account platzieren. Alles was er dazu brauchte, war die Handynummer. Über Text-Kommandos kann man auch gezielt Befehle an Twitter senden.
Bis Twitter zusätzliche Sicherheitssperren eingebaut hat, kann man sich vor derartigem Missbrauch nur schützen, indem man in den Einstellungen des Twitter-Accounts das Handy wieder entfernt.
Update:
Die Kollegen der heise-Partner-Site The H berichten, dass der angebliche Fix auch in UK nicht funktioniert. Ihnen gelang es, eine gefälschte Twitter-Meldung in einen Twitter-Account einzuschleusen, der ein Handy mit einer Nummer aus einem UK-Mobilfunknetz freigeschaltet hatte.
(ju)
