Twitter schließt Lücke in SMS-Funktion

Twitter startete ursprünglich als SMS Dienst und führt diese Tradition mit einigen Erweiterungen bis heute fort, damit jeder Nutzer - egal ob über das Smartphone oder ein einfaches Handy - Tweets lesen und versenden kann.

Der Sicherheitsexperten und Entwickler Jonathan Rudenberg hat bereits im August 2012 herausgefunden, dass diese Funktion anfällig ist für Spoofing-Attacken. Ähnlich wie bei E-Mail lässt sich auch bei SMS die Absenderadresse fälschen. Ein Angreifer benötigt lediglich die Mobilfunknummer, die ein Nutzer für seinen Twitter-Account verwendet, und schon kann er auf das Konto des Opfers zugreifen. Es ist dann möglich, alle Befehle zu verwenden, die über SMS zur Verfügung stehen. Der Angreifer kann Nachrichten im Namen des Konto-Inhabers versenden oder Daten im Benutzerprofil ändern.

Empfänger dieser manipulierten Nachrichten können aufgrund der gestohlenen Absenderadresse nicht erkennen, dass es sich dabei um eine böswillige Täuschung handelt. Das Opfer selbst erfährt ebenfalls nicht, dass sein Konto übernommen wurde, da Twitter keine Überprüfung der SMS vornimmt. Dem Plattformbetreiber genügte bislang die Erkennung der Telefonnummer.

Ein ähnliches Problem gab es bereits bei Facebook und Venmo. Allerdings handelten die Unternehmen schnell und schlossen die Lücke kurz nachdem sie informiert wurden.

Bei Twitter hat das einige Monate gedauert. Rudenberg hat mehrfach nachgefragt und schließlich mit einer Veröffentlichung von Informationen zur Sicherheitslücke gedroht. Am 4. Dezember 2012 bestätigte Twitter dann, dass die Lücke geschlossen wurde. Allerdings betrifft das bisher offenbar nur Nutzer, die eine SMS-Kurznummer verwenden können. In Deutschland kommt dagegen die Langnummer +4915705000021 zum Einsatz. Rudenberg empfiehlt hier, die SMS-Funktion zusätzlich über eine PIN abzusichern, die Nutzer bei Twitter in den Einstellungen unter Mobiltelefon setzen können. Die PIN muss dann jeder Nachricht vorangestellt werden.