Die Sicherheit der SMS-basierten Zwei-Faktor-Authentifizierung wurde lange diskutiert. Trotz Fehlern im Signalisierungssystem Nr. 7 (SS7), einem international verwendeten Telekommunikationsprotokoll zur Weiterleitung von Texten und Anrufen, wird es in großem Umfang in Banken und anderen Diensten eingesetzt.

Die Sicherheitsforscher Positive Technologies haben gezeigt, wie ein Bitcoin-Wallet mit SS7-Schwachstellen gehackt werden kann. Durch das SS7-Netzwerk konnten die Hacker die Google Mail-Kennwörter mithilfe der SMS-basierten Zwei-Faktor-Authentifizierung zurücksetzen.

Ein großer Fehler bei SMS-basierten 2FAs ist, dass auf das Einmalkennwort auf einer Vielzahl von Geräten und Diensten zugegriffen werden kann, die möglicherweise ihre eigenen Mängel aufweisen. Dadurch vergrößert sich die Angriffsfläche. Andererseits sendet der echte 2FA, der wie ein Push-Benachrichtigungs-Popup ist, die Bestätigungsaufforderung an ein Gerät.

In einem von den Forschern geposteten Video, das unten eingebettet ist, wird gezeigt, wie einfach der Angriff durchgeführt werden kann. Durch das Abfangen der Textnachrichten während des Transports können die Hacker die Kontrolle über Ihr Google Mail-Konto und alle anderen damit verbundenen Dienste übernehmen.

Nicht nur Krypto-Geldbörsen, dieser Fehler gefährdet Ihre Bank- und Social Media-Konten. "Dieser Hack würde für jede Ressource funktionieren - reale Währung oder virtuelle Währung -, die SMS zur Kennwortwiederherstellung verwendet", sagte der Forscher gegenüber Forbes.

Der Zugriff auf das SS7-Netzwerk ist die größte Hürde, die man durchqueren muss. Die Cyberkriminellen können den Zugang im dunklen Web kaufen. In der Vergangenheit wurde mindestens einmal SS7 zum Leeren von Bankkonten verwendet. Forbes zufolge verkaufen viele Überwachungsunternehmen auch Dienste, um SS7-Fehler auszuspionieren.

Was soll der Benutzer tun?

Wie bereits erwähnt, ist die Telekommunikationsbranche seit langem mit SS7-Fehlern behaftet. Wenn sie also keine Schritte unternehmen, um die Sicherheit zu erhöhen, müssen die Benutzer selbst Schritte unternehmen. Für zusätzliche Sicherheit können Sie Tools wie Google Authenticator, Google-Eingabeaufforderung oder Sicherheitsschlüssel verwenden.

Fanden Sie diese Geschichte zum SSL-Fehlerangriff interessant? Vergessen Sie nicht, Ihre Ansichten und Ihr Feedback mitzuteilen.

Arbeitete Für Sie: Robert Gaines & George Fleming | Möchten Sie Uns Kontaktieren?

Kommentare Auf Der Website: