Artikel zum Thema Sicherheit von Kurznachrichten

[LotharFrohwein]

Scheinbar ist die Zeit wo SMS als zweiter Faktor in 2FA einigermaßen sicher war vorbei. Ok es gab auch früher schon Möglichkeiten SMS abzufangen, aber dazu brauchte man das entsprechende Equipment, so wies aussieht ist das mittlerweile auch ohne dieses Equipment möglich.

Aber, muß hier jetzt groß Alarm geschlagen werden ? Oder kann man beruhigt wegschauen weils evtl nur ganz wenige Leute gibt die in der Lage sind sich da auf die beschriebene Weise einzuklinken, bzw weils viel zu wenige Leute gibt die dazu motiviert sind ?


Kurznachrichten mitlesen leichtgemacht

 

[Regentanz]

@LotharFrohwein
Wer benutzt denn noch SMS?

 

[LotharFrohwein]

Wie schon gesagt, es gibt SMS immer noch als Faktor in 2FA und dies wird auch immer noch genutzt und das nicht nur von einer Hand voll Leuten.

Sollte man SMS in 2FA nicht vielleicht so langsam mal ausschleichen lassen ?

 

[Cowcreamer]

Wenn du jetzt noch kurz erklärst, wie durch Nutzen der beschriebenen Angriffsvektoren (die es übrogens nicht mehr so gibt) ein Angriff auf 2FA möglich ist, bitte.

 

[Regentanz]

Sollte man SMS in 2FA nicht vielleicht so langsam mal ausschleichen lassen ?

Wen meinst du mit "man"?

 

[LotharFrohwein]

@Cowcreamer Ich meinte natürlich das mitlesen der per SMS versendeten Codes, oder was hast du gedacht ?

Die beschriebenen Vektoren gibt es nicht mehr ? Gut ich bin da kein Spezialist, aber der Artikel ist vom 10 Oktober und die Verfasser machen auf mich nicht den Eindruck als das sie nicht wüßten wovon sie da schreiben, das ist kein YT.

@Regentanz Wie ? Was soll ich damit gemeint haben ? Das man diese Option halt nicht mehr anbietet.

 

[Regentanz]

@LotharFrohwein
Ich verstehe immer noch nicht, wen du mit "man" meinst...
Btw: In dem Artikel ist von Behörden die Rede. Die haben noch nie SMS benutzt. Dürfen (und durften) sie noch nie.

 

[LotharFrohwein]

@Regentanz Und ich verstehe nicht was du da nicht verstehst ?

...ist von "Behörden" die Rede... Du denkst das Mitlesen von SMS auf die dort beschrieben Weise funktioniert nur bei Kurznachrichten von Behörden ? Es wurden Beispiele von Kurznachrichten aus dem Bereich gebracht, wo auf den Inhalt der Nachrichten eingegangen wurde, als Beispiel.

Es geht um SMS an sich. Grade kürzlich habe ich mitbekommen das es Leute gibt die ihre TAN immer noch per SMS bekommen, obwohl das schon vor längerem von einigen Banken als Option entfernt wurde.

Amazon hat auch nach wie vor SMS als Authifizierung aktiv.

Web.de, wo man sich lange nur mit dem Passwort einloggen konnte, hat jetzt wohl auch die selbe Methode standartmäßig eingeführt und da gibt es sicherlich noch eine ganze Reihe anderer....

 

[Regentanz]

...ist von "Behörden" die Rede... Du denkst das Mitlesen von SMS auf die dort beschrieben Weise funktioniert nur bei Kurznachrichten von Behörden ?

Quatsch. Der Artikel schreibt, dass auch SMS von Behörden gelesen werden können. Das ist offenbar schlecht recherchiert, weil Behörden sowieso NIE SMS versenden.

Grade kürzlich habe ich mitbekommen das es Leute gibt die ihre TAN immer noch per SMS bekommen, obwohl das schon vor längerem von einigen Banken als Option entfernt wurde.

Welche Bank soll das sein, die nicht zumindest mTans verwendet?

Amazon hat auch nach wie vor SMS als Authifizierung aktiv.

Richtig. Aber nur in Verbindung mit einer Mail-Adresse. Mit der SMS alleine fängt niemand etwas an.

Der ganze Bericht sieht etwas nach Panikmache aus.

 

[bananensaft]

@Regentanz Meine Bank hat keine mobile Tans via SMS mehr. Nicht mal mehr optional

 

[Cowcreamer]

@Cowcreamer Ich meinte natürlich das mitlesen der per SMS versendeten Codes, oder was hast du gedacht ?

Achso.
Ok, mal durchgespielt:
In dem verlinkten Artikel wird, grob gesagt, beschrieben, wie der downstream eines (!) Mobilfunkbetreibers mitgelesen werden kann.
Die Angreifer lesen also permanent alle (!) versendeten Nachrichten mit.
Wie genau ist da jetzt ein Angriff auf 2FA möglich? Angenommen, der Angreifer hat die Bankdaten eines Opfers und will nun mit 2FA eine Überweisung autorisieren. Und nun? Wie genau findet der Angreifer jetzt die 2FA Nachricht zwischen den potenziell zehntausenden anderen Nachrichten? 2FA Nachrichten laufen nach wenigen Minuten ab.
Wenn der Angreifer die Mobilfunknummer des Opfers nicht bereits kennt, wird er übrigens auch die Nachricht nicht finden, da er erst über das Portal des Anbieters ein Matching mit der temporären Mobilfunkkennung durchführen muss. Und das kurz vor dem Angriff, da die Kennung halt temporär ist und häufig wechselt.

Dabei kamen gleich zwei gravierende Schwachstellen zutage:

1. Das Mobilfunknetz verwendete bei der Übertragung von Kurznachrichten keine Verschlüsselung.
2. Über das Internet-Portal des Mobilfunk-Netzbetreibers war der massenhafte, automatisierte und kostenlose Versand von Kurznachrichten möglich.

Die Kombination dieser Schwachstellen erlaubte es Angreifenden, automatisiert die Rufnummer der mobilen Endgeräte der temporären Mobilfunk-Teilnehmerkennung zuordnen, welche über Funk übertragen wird.

Zusätzlich ist der Internetdienst, der das alles ohne eigenen Funkempfänger erlaubte, mittlerweile abgeschaltet.
Komplett unrealistisch, dass da ein Angriff auf 2FA stattfinden könnte.

Die beschriebenen Vektoren gibt es nicht mehr ? Gut ich bin da kein Spezialist, aber der Artikel ist vom 10 Oktober und die Verfasser machen auf mich nicht den Eindruck das sie nicht wüßten wovon sie da schreiben, das ist kein YT.

Das mittlerweile stillgelegte Electrosense-Netzwerk bot die folgenden Möglichkeiten:

Es ist davon auszugehen, dass auch das Internetportal keinen kostenlosen Versand mehr erlaubt. Es wird einen Grund haben, dass in dem Artikel nur davon die Rede ist, dass der unverschlüsselte Versand weiter stattfindet.

 

[LotharFrohwein]

Wie genau findet der Angreifer jetzt die 2FA Nachricht zwischen den potenziell zehntausenden anderen Nachrichten?

Ja fraglich wenn das genau so zu verstehen ist wie du das beschreibst, also wenn nicht direkt ersichtlich und zuzuordnen.

Wenn der Angreifer die Mobilfunknummer des Opfers nicht bereits kennt,

Gut, davon ist auszugehn wenn da jemand etwas derartiges vor hat, also dein Beispiel mit den Bankdaten. Wenn jemand Login und Passwort kennt, ist die Wahrscheinlichkeit das er auch deine Handynummer kennt nicht all zu klein.

Ok, wenn es schon möglich ist Kurznachrichten, seis auch in einem Stream, mit zu lesen, könnte es auch möglich sein mit einem entsprechenden "Progrämmchen" im Hintergrund einzelne Nachrichten heraus zu filtern, eben wenn die Handynummer doch bekannt ist. Ok keine Ahnung, scheint mir jetzt aber nicht völlig unmöglich sein.

Der ganze Bericht sieht etwas nach Panikmache aus

Ja, also Panik wollt ich hier keine erzeugen, aber SMS als Authifizierungsmöglichkeit stand ja schon öfter in der Kritik, weshalb ich dachte, ok sprichst das hier mal an...

Welche Bank soll das sein, die nicht zumindest mTans verwendet?

Ich hab das nicht aus der Luft gegriffen, hatte mir jemand im Bekanntenkreis erzählt.....Aber ich muss jetzt selber mal nachschauen bei dieser Bank ob das auch so stimmt....

LotharFrohwein schrieb:

Das mittlerweile stillgelegte Electrosense-Netzwerk bot die folgenden Möglichkeiten:

Wo hab ich denn das geschrieben ?

Ach, jetzt fällt der Groschen, "mittlerweile stillgelegt"

 

[Cowcreamer]

Ok, wenn es schon möglich ist Kurznachrichten, seis auch in einem Stream, mit zu lesen, könnte es auch möglich sein mit einem entsprechenden "Progrämmchen" im Hintergrund einzelne Nachrichten heraus zu filtern, eben wenn die Handynummer doch bekannt ist. Ok keine Ahnung, scheint mir jetzt aber nicht völlig unmöglich sein.

Es reicht nicht, die Nummer zu kennen. Du musst sie auch zeitnah der temporären Kennung zugeordnet haben.
Die mitgelesenen Nachrichten beinhalten keine Nummer, sondern nur die temporäre Kennung. Die ist aber, wie der Name schon sagt, temporär, und muss kurz vor "Einsatz" der Nummer zugeordnet werden.

Beiträge automatisch zusammengeführt: 14.10.2024

Wo hab ich denn das geschrieben ?

Oh, sorry, falsch zitiert. Aber hast es jetzt ja verstanden, gut .

 

[LotharFrohwein]

Die Kombination dieser Schwachstellen erlaubte es Angreifenden, automatisiert die Rufnummer der mobilen Endgeräte der temporären Mobilfunk-Teilnehmerkennung zuordnen, welche über Funk übertragen wird.

So war es – mit vertretbarem Aufwand – möglich, die mitlesbaren Kurznachrichten eindeutig der jeweiligen Mobilfunk-Rufnummer zuzuschreiben

Wäre das nicht darauf die Antwort:

Wie genau findet der Angreifer jetzt die 2FA Nachricht zwischen den potenziell zehntausenden anderen Nachrichten?

Und

eines deutschen Mobilfunk-Netzbetreibers

Heisst das bei anderen könnte die Geschichte noch aktiv sein ?

Beiträge automatisch zusammengeführt: 14.10.2024

Welche Bank soll das sein, die nicht zumindest mTans verwendet?

Targobank

mTan, eine Tan per SMS, oder verstehe ich da was falsch ?

Logisch braucht man noch ein Passwort.

 

[Cowcreamer]

Wäre das nicht darauf die Antwort:

Nein, denn es ist davon auszugehen, dass das kostenlose Versenden mittlerweile nicht mehr möglich ist. Und das ist Teil des Zuordnens.
Wahrscheinlich lief es so ab, dass eine Nachricht mit einem eindeutigen Inhalt, der einfach gefunden werden kann, über das Portal unter Angabe einer falschen Nummer (der Nummer des 2FA Servers) versendet wurde. Wenn nun diese Nachricht in den abgegriffenen DFaten gefunden wurde, hatte man die temporäre Kennung für die genutzte Nummer und konnte so weitere Nachrichten von dieser Nummer finden.
Da diese Kennung allerdings temporär ist, musste dieser Vorgang kurz vor dem "Angriff" stattfinden. Wenn das Portal nicht mehr existoiert (wovon auszugehen ist), fällt dieser Teil weg.

Und

Heisst das bei anderen könnte die Geschichte noch aktiv sein ?

Unwahrscheinlich.

 

[LotharFrohwein]

Ok, dann also Alarm aus

Bleibt am Ende also doch nur der ISMI Catcher, den es natürlich mittlerweile für 11,50 im Hosentaschenformat gibt

Quatsch !

Achso

Authifizierung

Heisst ja eigentlich Authentifizierung