News vom 22.11.2018

Millionen SMS im Klartext zugänglich

Ein Artikel von , veröffentlicht am 22.11.2018

Über eine ungesicherte Datenbank waren mehrere Millionen SMS eines US-Anbieters öffentlich zugänglich – und im Klartext lesbar. Anders als viele Messenger-Texte sind SMS nicht Ende-zu-Ende-verschlüsselt. Deswegen sind SMS ein riskanter Kanal, um zum Beispiel Codes für die Zwei-Faktor-Authentifizierung zu versenden.

Der Berliner Sicherheitsforscher Sébastien Kaul ist auf eine ungeschützte Datenbank mit mehr als 26 Millionen SMS von Kunden des SMS-Dienstleisters Voxox gestoßen. Die SMS ließen sich nach Namen und Telefonnummern durchsuchen und die Inhalte lagen im Klartext vor.

Wie der Forscher rekonstruieren konnte, landeten die SMS beinahe in Echtzeit in der Datenbank. Das US-Unternehmen Voxox verschickt nach Firmenangaben SMS in 180 Länder.

Das US-Magazin TechCrunch, das die Geschichte aufgegriffen hatte, fand in einer nur flüchtigen Recherche auch verschiedene sicherheitsrelevante SMS-Inhalte, etwa:

  • ein Passwort, das der beliebte Datingdiest Badoo verschickt hatte
  • eine Lieferbenachrichtigung von Amazon
  • verschiedene Codes, die im Rahmen einer Zwei-Faktor-Authentifizierung für Google-Accounts verschickt wurden

Mit diesen Informationen hätten Angreifer beispielsweise Nutzerprofile einsehen und sie im schlimmsten Fall kapern können.

Das Unternehmen Voxox hat das Problem gegenüber dem IT-Portal Heise online eingeräumt:

Die Sicherheitslücke hätte es Unbekannten erlaubt, Zugriff auf SMS-Nachrichten zu bekommen, die von oder an unser Netzwerk geschickt wurden ….

Man habe die Lücke aber innerhalb weniger Minuten nach Bekanntwerden geschlossen. Zudem sei man „ zuversichtlich, dass keine Daten von einem böswilligen Dritten gesehen oder heruntergeladen wurden".

Fehlende Verschlüsselung bei SMS

Der Fall zeigt eine bekannte Schwäche von SMS auf: Sie sind standardmäßig nicht Ende-zu-Ende-verschlüsselt. Somit können Telekommunikationsunternehmen sie im Klartext einsehen - und das gilt auch für unbefugte Dritte, wenn diese über gezielte Hacks oder über ungesicherte Systeme an die Daten kommen.

Bei den meisten großen Messenger-Apps hingegen sind alle Nachrichten Ende-zu-Ende verschlüsselt. Das heißt: das Smartphone des Absenders verschlüsselt eine Nachricht, und nur das Gerät des legitimen Empfängers kann sie entschlüsseln. Auf der Datenbank des jeweiligen Messenger-Anbieters landet somit nur unverständlicher Zeichensalat.

Zwei-Faktor-Authentifizierung per App statt SMS

Für Zwei-Faktor-Authentifizierung (2FA) ist SMS deswegen ein potenziell riskanter Kanal. Dennoch gehört dieser Weg zur Standardoption bei vielen Onlinediensten. Als Nutzerin oder Nutzer können Sie beispielsweise festlegen, dass Sie für ein Login in Ihr Google-, Apple- oder Facebook-Konto nicht nur das Passwort in den Browser eingeben müssen. Sie müssen als zusätzlichen Schritt einen Code eingeben, den Sie auf Ihr Smartphone erhalten. Oft geschieht das per SMS.

Immer öfter bieten Onlinedienste aber auch andere, besser geschützte Kanäle zur Authentifizierung an, etwa externe Apps wie „Google Authenticator“ oder „Duo Mobile“.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

VPN-Dienst auswählen: Das sollten Sie beachten

Wer seine Datenverbindung über einen VPN-Server umleitet, kann seine Datenspuren verwischen. Doch bei der Auswahl des Anbieters sollten Sie sorgfältig sein - denn er hat vollen Zugriff auf Ihre Datenverbindungen. Welche VPN-Apps wir empfehlen, erfahren Sie hier.

Mehr
Schwerpunkt 

Der Start mit Android: Alles Wichtige für den Einstieg

Sie fangen gerade erst an, sich mit Sicherheit und Datenschutz auf Ihrem Android-Handy zu beschäftigen? Dann finden Sie hier die Grundlagen für den Start: Wie Sie ein Gerät richtig einrichten, die wichtigsten Sicherheitseinstellungen und Tipps zu Bildschirmsperre und Passwort.

Mehr
Kinder und Jugendliche 

App-Check: Kindersicherung Kaspersky SafeKids

Bei Privatsphäre und Datensicherheit gibt es für die Kindersicherungs-App Minuspunkte: Eltern können ihre Kinder damit genau überwachen, zum Beispiel Suchbegriffe und Chatverläufe mitlesen. Sämtliche Daten vom überwachten Gerät landen beim Anbieter, der sie ebenfalls einsehen könnte.

Mehr
Ratgeber 

Neue Regeln beim Banking: Was ändert sich?

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Eine Folge: Die TAN-Listen auf Papier darf nicht mehr genutzt werden. Viele Nutzer*innen steigen daher auf Banking-Apps um. Wir erklären was sich ändert und worauf Sie achten sollten.

Mehr