In einem früheren Artikel habe ich 2FA erklärt, und kurz angesprochen, dass SMS 2FA unsicher ist, und in diesem Beitrag hier möchte ich dies erklären. Diesen Artikel bitte nicht mit dem Artikel «SMS als Sicherheitslücke» verwechseln, bei dem es um einen «Design-Fehler» geht, wobei SMS zur Hintertür wird.

Zwei-Faktor Authentifizierung (2FA), wird oft empfohlen, mach auch Sinn.

Es gibt viele 2FA Methoden, eine davon ist SMS. Diese ist jedoch unsicher, wird leider aber weiterhin verwendet. Ich möchte hier erklären, weshalb dies unsicher ist.

Jetzt nehmen wir mal an, Sie werden aus irgendeinem Grund zum Ziel. Sie denken sich vielleicht, das wird niemals passieren, aber so manche dachten dies, und hatten dann das Geld von der Bank weg, oder ein Social Media Konto wurde gestohlen, oder sonst was.

Jetzt möchte ich ein paar Angriffsmöglichkeiten vorstellen, damit Sie ein Gefühl dafür bekommen können, wie einfach es ist, SMS auszunutzen.

1. Das Abfangen der SMS

Eva möchte die SMS von Alice abfangen. Sie wohnt auch nicht weit weg, und bestellt online (und im übrigen legal) das Gerät, um SMS abzufangen. Da Eva nur einige Kilometer entfernt von Alice lebt, empfängt Eva die Signale vom gleichen Funkmast wie Alice. Eva stellt also das Gerät und Antenne zu Hause im Wohnzimmer auf, und fängt an zu lauschen. Dies ist komplett passiv, und weder Mobilfunkanbieter noch Alice bekommen davon was mit. Sobald Alice nun eine SMS erhält, hat auch Eva eine Kopie.

Klingt wie bei Hollywood, aber genau so kann das in der Realität passieren. Es ist ein bekannter Angriff auf SMS. Ich habe hier aber natürlich fiktive Charaktere benutzt.

Eine SMS abzufangen, ist nicht nur ein Einbruch in die Privatsphäre, sondern auch strafbar. Der Grund, warum das Gerät selber jedoch legal zu kaufen ist, ist, weil es gar nicht dafür konzipiert ist. Es ist eigentlich ein harmloses Alltagsgerät, welches dann zweckentfremdet wird. Details verrate ich jedoch wegen Missbrauchsgefahr nicht.

Ich hoffe, Sie merken langsam, wie unsicher SMS sind. Aber es gibt noch mehr:

2. Das Austricksen des Mobilfunkanbieters

Mallory möchte die SMS von Alice abfangen, wohnt jedoch zu weit weg. Die oben genannte Methode ist also nicht praktikabel. Stattdessen gibt sich Mallory als Alice aus, und ruft beim Mobilfunkanbieter von Alice an, und sagt, sie möchte eine zweite SIM-Karte für ein Zweitgerät. Sie schafft es dann auch, diese an eine andere Adresse in der Nähe senden zu lassen.

Bei einer zweiten SIM-Karte, erhalten beide die SMS, Alice vermisst also keine SMS und bekommt auch nichts davon mit, bis zur nächsten Mobilfunkrechnung, wo die Zweitkarte verrechnet ist. Dann ist es jedoch zu spät.

Das klingt wie ein Plot eines schlechten Krimis, ist jedoch Realität, die leider schon oft passiert ist. In Deutschland ist das schon so oft vorgekommen, dass Mobilfunkanbieter diese Methode inzwischen kennen und behaupten, Sie würden nicht mehr SIM-Karten an andere Adressen senden. Hoffen wir mal, dass dies stimmt. Ich kann mir jedoch vorstellen, dass es weiterhin vereinzelt vorkommen könnte.

3. Schadsoftware / Spähsoftware (Malware/Spyware)

Durch sogenannte Spähsoftware (engl. Spyware), kann ein Angreifer alle SMS eines infizierten Gerätes mitlesen. Manchmal geschieht dies durch Fehlverhalten des Nutzers, z.B. in dem er ein automatisch heruntergeladener Installer aufmacht und installiert, was auf dubiosen Seiten manchmal vorkommt. Dies kann jedoch nur auf Android passieren*, da Apple «Sideloading» ohne Weiteres nicht unterstützt (also direkte Installation von Apps ausserhalb des App-Stores).

Die andere Variante, und davon sind sowohl Android als auch iOS (iPhone) betroffen, ist es, die Schadsoftware durch sogenannte «Exploits» (Ausnutzung von Sicherheitslücken) zu installieren. Bei letzterem ist der Nutzer oft nicht zu verschulden, da dies auch ganz ohne Interaktion geschehen kann. Ein solcher Exploit war z.B. Pegasus, welcher durch die Medien ging.

*Theoretisch kann das auch auf anderen Systemen passieren, aber heutzutage gibt es eigentlich fast nur Android und iOS, wobei Angreifer wegen der Popularität und Sideloading auf Android zielen. Ein PinePhone mit Linux wird wohl eher nicht zum gängigen Ziel, und andere Systeme gelten als ausgestorben.

Inkompetenter Webseitenbetreiber

So, wer jetzt denkt: «Aber immer noch besser als gar kein 2FA!», für die habe ich noch ein Ass im Ärmel:

Wenn man bei manchen Webseiten die Mobilfunknummer für 2FA hinterlässt, wird die Nummer dummerweise auch automatisch für das Zurücksetzen des Passworts gespeichert.

Der Sinn hinter 2FA, ist ja, dass man neben dem Passwort ein zweites «etwas» hat. In dem falle die SMS. Wenn man jedoch mit diesem zweiten «etwas» auch das Passwort zurücksetzen kann, wurde aus 2FA effektiv 1FA. Also sprich, man kommt dann mit SMS rein, auch wenn man das Passwort gar nicht kennt.

In so einem Falle, ist es besser gar kein 2FA zu haben, weil es effektiv weniger sicher ist. Wenn schon 1FA, dann mit Passwortmanager, und nicht mit SMS.

Das gilt übrigens nicht nur für SMS. Es kommt immer wieder vor, dass Webseitenbetreiber anscheinen nicht wissen, was sie tun, wenn es um IT-Sicherheit geht, und dann eine Sicherheitsfunktion einbauen, die das Ganze weniger sicher macht als gedacht. Also z.B. 2FA einbauen, dass dann umgangen werden kann, oder gar eine Lücke öffnet.

Wer jetzt mehr über diese Sicherheitslücke erfahren möchte, für den habe ich den Artikel «SMS als Sicherheitslücke» zur Erläuterung verfasst.

Update 2022-08-20: Ich habe den Punkt Spähsoftware hinzugefügt.