SMS-Hijacking: Zweifaktor-Schutz trivial ausgehebelt
Mit minimalem Aufwand entführte ein Forscher SMS-Nachrichten mit Einmalpasswörtern. In Deutschland sollte das allerdings so nicht funktionieren.
(Bild: Pavel Ignatov/Shutterstock.com)
Der Sicherheitsforscher Lucky225 demonstrierte dem US-Magazin Vice, dass er ohne großen Aufwand beliebige SMS-Nachrichten auf sein eigenes Handy umleiten konnte. Alles, was er dazu benötigte, war die Handynummer und 16 US-Dollar für einen Demo-Account bei einem Dienstleister.
TLDR: Keine SMS für sicherheitsrelevante Dinge
Der Angriff funktioniert viel einfacher als bekannte Techniken wie SIM Swapping und SS7-Attacken (mehr dazu weiter unten). Offenbar gab es in den USA etwa durch Rufnummern-Mitnahme viele Ausnahmen und Besonderheiten, die eine verlässliche Zustellung von SMS schwierig machten. Deshalb erstellte eine Firma namens Netnumbers eine riesige Datenbank mit SMS-Routing-Informationen. Diese Override Services Registry (OSR) etablierte sich als zentrale Instanz, die praktisch alle nordamerikanischen Mobilfunk-Provider für das SMS-Routing nutzen.
Netnumbers arbeitet jedoch mit einer Reihe von weiteren Firmen zusammen, die kommerzielle Dienste anbieten wie: "Leite SMS an deine Firmen-Telefonnummer auf ein beliebiges Ziel um". Im Hintergrund erstellt Netnumbers dann einen neuen OSR-Eintrag und schwupps: Alle SMS an diese Nummer werden umgeleitet. Es ist anzunehmen, dass die dafür erhobenen Gebühren das eigentliche Geschäftsmodell der OSR sind.
Einen solchen Dienst der Firma Sakari nutzte der Sicherheitsforscher Lucky225. Alles, was er dazu tun musste, war zu versichern, dass er dazu auch wirklich berechtigt sei ("Klar doch, Ehrenwort!"). Beim eigentlichen Eigentümer der Nummer fragten weder Sakari, noch Netnumbers oder der Mobilfunk-Provider nach, erklärte der Vice-Reporter Joseph Cox, dessen SMS-gesicherte Accounts Lucky225 mit seinem Einverständnis kaperte. Außer Sakari gibt es eine ganze Reihe weiterer Anbieter, die ähnliche Dienste auf OSR-Basis offerieren.
Telekom winkt ab
Dieses SMS-Hijacking ist recht spezifisch für den nordamerikanischen Raum und ließe sich wohl nicht auf Deutschland übertragen. So erklärte uns Christian Fischer von der Telekom, man nutze die Dienste von Netnumbers nicht: "Das SMS-Routing bei uns folgt Global Titles und statisch konfiguriertem Routing nach dem Standard GSMA IR.21" erklärt der Telekom-Sprecher. Darüber hinaus setze man eine Signalisierung-Firewall ein und schütze sich gegen SMS-Spoofing an den Grenzen des eigenen Netzes. [Update 23.3.: Auch Telefonica verneinte auf unsere Nachfragen die Nutzung von Netnumbers oder ähnlicher Dritt-Anbieter für das SMS-Routing.]
Es gibt zwar auch in Deutschland eine im Auftrag der Bundesnetzagentur betriebene Portierungsdatenbank. Doch deren Einträge können nach unserem Kenntnisstand nur die Netzbetreiber setzen. Änderungen Dritter, insbesondere solche, von denen der Eigentümer nichts mitbekommen soll, sind damit zwar nicht unmöglich – aber doch ausgesprochen schwierig zu realisieren.
Auch Karsten Nohl, einer der Pioniere von SS7-Attacken, hält solche Eingriffe Dritter in das SMS-Routing für eher unwahrscheinlich: "Die Weiterleitung widerspricht Datenschutzprinzipien und der DSGVO so fundamental, dass deutsche Telkos gut beraten sind, einen großen Bogen um solche Zweitverwertungs-Geldquellen zu machen." erklärte er auf Nachfragen von heise Security.
Trotzdem: Lieber Authy
Doch das macht SMS nicht sicher: Es gibt bereits eine Reihe von bekannten Angriffen auf SMS-Nachrichten, die prinzipiell auch in Deutschland funktionieren können. Beim sogenannten SIM Swapping gelingt es einem Angreifer, einen Angestellten des Mobilfunkbetreibers zu überreden, dass er eine Telefonnummer auf eine andere SIM-Karte umleiten soll ("Die alte habe ich verloren ..."). Das Opfer ist dann allerdings komplett abgehängt und bemerkt das relativ bald. Wenn es dann nicht schon zu spät ist.
Bei SS7-Angriffen braucht der Angreifer immerhin Zugang zum internen Signalisierungssystem des Mobilfunkprovider-Netzes. Das ist zumindest mittlerweile nicht mehr ganz trivial und die Provider haben Netz-intern Vorkehrungen dagegen getroffen. Die werden aber einen wirklich motivierten, gut ausgestatteten Angreifer kaum stoppen können.
In Bezug auf Sicherheit sind Einmal-Passwörter von Apps wie Authy oder Google Authenticator die bessere Wahl. Auch die im Rahmen von PSD2 von vielen Banken eingeführten App-TANs bieten ein höheres Sicherheits-Niveau als SMS-TANs.
(ju)
