Unsicher

SMS: 2-Faktor-Authentifizierung kann ausgetrickst werden

Online-Banken und andere Internet-Dienste verwenden gerne die 2-Faktor-Authen­tifi­zierung per SMS für mehr Sicher­heit. Doch diese kann ausge­trickst werden, wie Forscher von ESET fest­gestellt haben.
Von

Die Fake-Apps im Google Play Store Die Fake-Apps im Google Play Store
Bild: ESET / welivesecurity.com Die Zwei-Faktor-Authen­tifi­zierung per SMS wird gerne als "Allheil­mittel" gegen jede Art von Sicher­heits­lücken betrachtet. Insbe­sondere Online-Banken und andere Internet-Dienste mit persön­lichem Account setzen auf diese Siche­rungs­maßnahme.

Dass sie aller­dings auch nicht in jedem Fall sicher ist, haben nun Forscher des Sicher­heits-Soft­ware-Herstel­lers ESET heraus­gefunden. Selbst Googles neue Richt­linien zur Nutzung von SMS- und Tele­fonie-Infor­mationen durch Apps bieten offenbar keinen ausrei­chenden Schutz. Die Fake-Apps im Google Play Store Die Fake-Apps im Google Play Store
Bild: ESET / welivesecurity.com

Benach­rich­tigungen auf dem Gerä­tedis­play werden ausge­lesen

Die Forscher von ESET haben nach eigenen Angaben gefälschte Kryp­towäh­rungs-Apps aus Google Play analy­siert, die mit neuar­tigen Tech­niken Zugriff auf die SMS-basierte Zwei-Faktor-Authen­tifi­zierung erhalten. Hierzu können die Apps offenbar die von Google erst kürz­lich aufge­stellten Richt­linien für den Zugriff auf Tele­fonie- und SMS-Logs umgehen. Nach der neuen Richt­linie von Google dürfen nur noch Apps aus dem Play Store nach Zugriff auf diese Daten fragen, wenn sie zuvor als Stan­dard-Apps für Tele­fonate oder SMS fest­gelegt wurden.

Die geprüften Apps erschlei­chen sich dazu die Berech­tigung, Benach­rich­tigungen auf dem Gerä­tedis­play lesen zu dürfen. Eine einge­hende SMS oder E-Mail mit einem Einmal­pass­wort ist auf diesem Weg für die Angreifer einsehbar. Damit besteht die Möglich­keit, dass Krimi­nelle diese Methode zukünftig auch für Angriffe auf das Online-Banking und andere Dienste ausnutzen, die auf eine Zwei-Faktor-Authen­tifi­zierung per SMS setzen.

Der einge­schränkte Zugriff auf die Tele­fonie- und SMS-Logs, so gut er auch gemeint war, erweist sich dadurch als wirkungslos. Damit ist beispiels­weise das mTAN-Verfahren, bei dem Bank­kunden für jeden Online-Banking-Auftrag eine Nummer per klas­sischer SMS erhalten, nicht mehr sicher. Das System galt schon länger als unsi­cher, da der Versand von SMS-Nach­richten unver­schlüs­selt erfolgt. Zahl­reiche Banken haben daher das mTAN-Verfahren per SMS bereits abge­schafft, dennoch setzen noch immer einige Banken auf dieses Verfahren. Auch andere Internet-Dienste, die eine SMS für die Zwei-Faktor-Authen­tifi­zierung nutzen, sind über diesen Weg angreifbar. Anforderung des Benachrichtigungszugriffs und Phishing-Formular der Fake-App Anforderung des Benachrichtigungszugriffs und Phishing-Formular der Fake-App
Bild: ESET / welivesecurity.com, Montage: teltarif.de

Die Herkunft der Apps

Laut den Forschern geben sich die Apps als vermeint­liche Anwen­dungen der türki­schen Kryp­towäh­rungs-Börse BtcTurk aus. In Google Play heißen sie beispiels­weise "BTCTurk Pro Beta", "BtcTURK Pro Beta" und "BTCTURK PRO". Die Schad-Apps wurden offenbar aktuell im Juni bei Google Play zum Down­load bereit­gestellt und kurz darauf nach der Benach­rich­tigung durch ESET wieder entfernt.

Wer aber eine der Anwen­dungen instal­liert hat, lebt gefähr­lich, wenn das Smart­phone mit dem Internet verbunden ist und Zwei-Faktor-Authen­tifi­zierungs­vorgänge durch­geführt werden. Die Krimi­nellen können aller­dings ledig­lich den Text sehen, der in das Benach­rich­tigungs­feld passt. Gene­rell sind die Texte bei der Zwei-Faktor-Authen­tifi­zierung per SMS aber meist kurz gehalten. Daher ist laut den Forschern die Chance hoch, dass auch das Einmal­pass­wort sichtbar ist.

Besseren Schutz beim Einloggen in das Google-Konto auf den Apple iPhones und iPads verspricht der Sicher­heits­schlüssel der Android-Smart­phones mittels einer Zwei-Faktor-Veri­fizie­rung.

Mehr zum Thema Sicherheitslücke