2203075

Hacker können jedes Facebook-Konto mit Handynummer übernehmen

16.06.2016 | 11:42 Uhr |

Sicherheitsforscher wollen eine gravierende Sicherheitslücke entdeckt haben, die alle Facebook-Nutzer betrifft, die ihre Handynummer bei Facebook hinterlegt haben. Damit können Hacker die Kontrolle über fremde Facebook-Konten übernehmen.

Wie die auf IT-Sicherheit spezialisierte Webseite Fossbytes berichtet, können Angreifer mit den geeigneten Tools und Fachwissen fremde Facebook-Konten übernehmen. Sofern diese mit einer gültigen Handynummer verbunden sind. Dieses Problem ist deshalb besonders gravierend, weil Facebook seine Nutzer immer wieder ausdrücklich dazu auffordert eine Handynummer zu hinterlegen, damit das Facebook-Konto wiederhergestellt werden kann, wenn man sein Passwort vergisst.

Diese Sicherheitsmaßnahme von Facebook kann zumindest theoretisch zum Bumerang werden.
Vergrößern Diese Sicherheitsmaßnahme von Facebook kann zumindest theoretisch zum Bumerang werden.

SS7-Protokoll schon länger unsicher

Gerade diese aus Sicherheitsgründen bei Facebook hinterlegte Handynummer kann Hackern als Einfallstor dienen. Über eine SS7-Lücke. Beim Signalling System 7 (SS7) handelt es sich um eine Sammlung von Protokollen und Verfahren für die Signalisierung in Telekommunikationsnetzen wie zum Beispiel dem Mobilfunknetz. Weltweit benutzen Mobil-Provider SS7. Bereits Ende 2014 zeigten Sicherheitsexperten aber, wie Hacker über das SS7-Protokoll GSM- und UMTS-Verbindungen knacken und abhören sowie Handys orten können.

SS7-Lücke für Facebook-Hack

In besagtem SS7-Protokoll steckt offensichtlich immer noch eine ernste Sicherheitslücke. Kennt ein Hacker die Mobilfunknummer eines Facebook-Benutzers, so kann er die Passwort-Wiederherstellungsfunktion von Facebook nutzen, um Zugriff auf das fremde Facebook-Konto zu bekommen. Indem der Angreifer das von Facebook zur Wiederherstellung erzeugte und per SMS verschickte Einmal-Passwort (OTP-Code, one-time password) durch Ausnutzung der SS7-Lücke (wofür Detailwissen über das betroffene Mobilfunknetz und wohl auch über das verwendete Handy des Angegriffenen erforderlich ist) auf sein eigenes Smartphone umleitet, dort mit einem Sniffer wie Wireshark ausliest und dann auf der Passwort-Wiederherstellungsseite von Facebook eingibt. Danach kann der Angreifer ein neues Passwort für den fremden Facebook-Account erstellen. Das nur der Hacker kennt. Damit ist er dann Herr über das fremde Facebook-Konto und kann dort tun, was er will.

Passwort-Wiederherstellung
Vergrößern Passwort-Wiederherstellung

Die Sicherheitsexperten von Positive Technologies erklären ihre Angriffstechnik in einem Proof-of-concept-Video.

Die Sicherheits-Fachleute empfehlen Facebook-Nutzern dringend, keine(!) Handynummer bei Facebook zu hinterlegen. Stattdessen sollen Facebook-Anwender ihr Einmal-Passwort an eine Mailadresse schicken lassen. Und darüber dann ihr Facebook-Passwort zurücksetzen.

Dabei muss betont werden, dass es sich nicht um eine Sicherheitslücke in Facebook handelt, sondern um ein Problem in der von den Mobilfunk-Providern verwendeten SS7-Software. Zudem ist das Ausnutzen der Lücke nicht trivial, es setzt viel Know-How über das betroffene Mobilfunknetz und das Smartphone/Handy des Facebook-Nutzers und die richtigen Tools beim Angreifer voraus.

0 Kommentare zu diesem Artikel
2203075