Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 22.11.2018

Millionen SMS im Klartext zugänglich

Ein Artikel von Stefan Mey, veröffentlicht am 22.11.2018

Über eine ungesicherte Datenbank waren mehrere Millionen SMS eines US-Anbieters öffentlich zugänglich – und im Klartext lesbar. Anders als viele Messenger-Texte sind SMS nicht Ende-zu-Ende-verschlüsselt. Deswegen sind SMS ein riskanter Kanal, um zum Beispiel Codes für die Zwei-Faktor-Authentifizierung zu versenden.

Der Berliner Sicherheitsforscher Sébastien Kaul ist auf eine ungeschützte Datenbank mit mehr als 26 Millionen SMS von Kunden des SMS-Dienstleisters Voxox gestoßen. Die SMS ließen sich nach Namen und Telefonnummern durchsuchen und die Inhalte lagen im Klartext vor.

Wie der Forscher rekonstruieren konnte, landeten die SMS beinahe in Echtzeit in der Datenbank. Das US-Unternehmen Voxox verschickt nach Firmenangaben SMS in 180 Länder.

Das US-Magazin TechCrunch, das die Geschichte aufgegriffen hatte, fand in einer nur flüchtigen Recherche auch verschiedene sicherheitsrelevante SMS-Inhalte, etwa:

  • ein Passwort, das der beliebte Datingdiest Badoo verschickt hatte
  • eine Lieferbenachrichtigung von Amazon
  • verschiedene Codes, die im Rahmen einer Zwei-Faktor-Authentifizierung für Google-Accounts verschickt wurden

Mit diesen Informationen hätten Angreifer beispielsweise Nutzerprofile einsehen und sie im schlimmsten Fall kapern können.

Das Unternehmen Voxox hat das Problem gegenüber dem IT-Portal Heise online eingeräumt:

Die Sicherheitslücke hätte es Unbekannten erlaubt, Zugriff auf SMS-Nachrichten zu bekommen, die von oder an unser Netzwerk geschickt wurden ….

Man habe die Lücke aber innerhalb weniger Minuten nach Bekanntwerden geschlossen. Zudem sei man „ zuversichtlich, dass keine Daten von einem böswilligen Dritten gesehen oder heruntergeladen wurden".

Fehlende Verschlüsselung bei SMS

Der Fall zeigt eine bekannte Schwäche von SMS auf: Sie sind standardmäßig nicht Ende-zu-Ende-verschlüsselt. Somit können Telekommunikationsunternehmen sie im Klartext einsehen - und das gilt auch für unbefugte Dritte, wenn diese über gezielte Hacks oder über ungesicherte Systeme an die Daten kommen.

Bei den meisten großen Messenger-Apps hingegen sind alle Nachrichten Ende-zu-Ende verschlüsselt. Das heißt: das Smartphone des Absenders verschlüsselt eine Nachricht, und nur das Gerät des legitimen Empfängers kann sie entschlüsseln. Auf der Datenbank des jeweiligen Messenger-Anbieters landet somit nur unverständlicher Zeichensalat.

Zwei-Faktor-Authentifizierung per App statt SMS

Für Zwei-Faktor-Authentifizierung (2FA) ist SMS deswegen ein potenziell riskanter Kanal. Dennoch gehört dieser Weg zur Standardoption bei vielen Onlinediensten. Als Nutzerin oder Nutzer können Sie beispielsweise festlegen, dass Sie für ein Login in Ihr Google-, Apple- oder Facebook-Konto nicht nur das Passwort in den Browser eingeben müssen. Sie müssen als zusätzlichen Schritt einen Code eingeben, den Sie auf Ihr Smartphone erhalten. Oft geschieht das per SMS.

Immer öfter bieten Onlinedienste aber auch andere, besser geschützte Kanäle zur Authentifizierung an, etwa externe Apps wie „Google Authenticator“ oder „Duo Mobile“.

Mehr zum Thema bei mobilsicher.de

  • Standard ist die Verschlüsselung nicht, aber mithilfe einer Android-App lassen sich auch SMS verschlüsseln. Diese Methode stellen wir im Ratgeber „SMS verschlüsseln mit Silence“ vor.
  • Allgemeine Informationen zur im Text erwähnten 2FA-Methode erhalten Sie im Hintergrundartikel „Was bedeutet Zwei-Faktor-Authentifizierung?“
  • Der Artikel „Verschlüsselte Messenger: WhatsApp, Threema, Signal und Co.“ liefert Ihnen einen Überblick über die wichtigsten Messenger-Apps.

    • Artikel drucken:

    Beitrag teilen:

    Weitere Artikel

    Ratgeber 

    Zugang zum Apple-Universum: Tipps rund um die Apple-ID

    Mit der Apple-ID können sich iOS-Nutzer für zahlreiche Apple-Dienste anmelden: iTunes, App-Store, iCloud – das alles funktioniert mit diesem zentralen Zugang. Es gibt verschiedene Möglichkeiten und Funktionen, um diesen Zugang zu sichern. Hier erklären wir die wichtigsten, und wann sich welche Maßnahme eignet.

    Mehr     Ratgeber 

    SMS verschlüsseln mit Silence

    Die Auswahl an Apps zur Verschlüsselung des SMS-Verkehrs ist sehr eingeschränkt. Silence bietet als alternative SMS-App die Verschlüsselung von SMS an – mit Einschränkungen.

    Mehr     Ratgeber 

    NHS Covid-19 App: Großbritanniens Contact-Tracing-App kurz vorgestellt

    Bei der britischen Contact-Tracing-App ist außer der Nutzung der Bluetooth-Technologie noch vieles offen. Die zentrale Datenspeicherung bringt technische Schwierigkeiten mit sich, inzwischen ist daher auch eine Anpassung der App auf die Schnittstelle von Google und Apple wieder im Spiel.

    Mehr     Ratgeber 

    Hard Reset: iPhone zurücksetzen trotz Sperr-Code

    Ihr iPhone oder iPad reagiert auf absolut nichts mehr - oder Sie haben die PIN für den Sperrbildschirm vergessen? Mit Hilfe eines USB-Kabels und eines Computers lässt sich das Gerät in diesem Fall auf die Werkseinstellungen zurücksetzen. Achtung: Ihre Daten werden dabei gelöscht.

    Mehr

    Kontakt

    Institut für Technik und Journalismus e.V.
    Linienstraße 13
    10178 Berlin

    info@ituj.de

    Lizenz

    Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

    Träger

    Impressum Datenschutz