Manchen können schlechte Absichten unterstellt werden

Beide Dienste behaupten, die Identität eines Users genauer feststellen zu müssen. Der Login kann nur fortgesetzt werden, wenn auf der Stelle eine Telefonnummer eingegeben wird, an die ein Code versendet werden kann, um die Authentifizierung abzuschließen.

Natürlich ist das nur der Fall, wenn dem Konto noch keine Telefonnummer zugeordnet ist oder wenn man sie wieder aus dem Profil gelöscht hat, weil die eigene Handynummer für den Dienst eigentlich nicht notwendig ist. Wenn ein Anbieter dieses Fehlen einer Handynummer als Sicherheitsbedenken bezeichnet, ist das nichts anderes als dreist. Denn ein Angreifer kann durchaus eine Handynummer eingeben, auf deren SMS Zugriff besteht - es gibt sogar ein paar Internetseiten, die alle SMS anzeigen, die an eine bestimmte Nummer geschickt werden. Die Hackeranonymität bleibt dabei gewahrt.

Offensichtlich handelt es sich hier also hauptsächlich um ein Datensammelfeature und nicht um eine Abfrage, die mehr Sicherheit garantiert. Internetnutzer haben guten Grund, gerade Facebook möglichst viele Daten vorzuenthalten, wie das aktuelle Datenleck wieder gezeigt hat. Facebook hat dabei einmal mehr unter Beweis gestellt, wie wenig Verständnis es dort für die gesamte Datenschutzproblematik gibt.

Dass es ums Datensammeln geht, wird auch dadurch deutlich, dass bei den meisten Diensten nicht einmal unterschieden wird, für welche Funktionalität die Telefonnummer eingegeben wurde. Sie landet immer einfach im Nutzerprofil. Das hatte schon zur Folge, dass für die Zwei-Faktor-Authentifizierung eingegebene Nummern für Werbezwecke verwendet wurden, zum Beispiel bei Twitter und Facebook.

Mit zunehmender Beliebtheit von RBA-Systemen haben sich im Übrigen auch Hacker immer mehr dafür interessiert, wie die Bewertungsmodule ausgetrickst werden können. Eine Lösung ist recht einfach und kostet nicht viel Aufwand: Für Webseiten genügt es vollkommen, den Hacker-Browser die Daten versenden zu lassen, die das RBA-System von einem bestimmten Nutzer erwartet. Das Gute für die Hacker ist dabei, dass an diese Daten nicht schwer heranzukommen ist.

Der problematischste Angriffsweg

Denn wenn eine Webseite die Kontextinformationen aus dem Browser abfragt, sei es aus dem HTTP-Header oder mit Hilfe von Javascript, Java, bis vor kurzem Flash oder anderen aktiven Inhalten, kann dies auch jede andere Webseite tun. Surfen Internetnutzer eine Webseite an, hinterlassen sie dort immer wieder die gleichen Header-Informationen, abgesehen von Daten aus domainbezogenen Cookies.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Angreifer können also problemlos die gleichen Header-Informationen mit einer anderen IP-Adresse übermitteln und sind so schnell im Geschäft. Welche Informationen über aktive Inhalte von einem konkreten RBA-System ausgelesen werden, kann mit etwas mehr Aufwand ebenfalls analysiert und dann nachgebildet werden. Der aktive Inhalt läuft schließlich auf dem Client-Computer.

Die Schwierigkeit besteht also nur darin, einen Nutzer auf eine eigene Webseite zu locken und diesen dann auch einem Konto zuzuordnen, dessen Passwort man bereits besitzt - was aber nicht rasend schwer ist, wie E-Mail-Spammer schon seit ein paar Jahrzehnten unter Beweis stellen. Aus diesem Grund werden bei Listen von gehackten Accounts inzwischen öfter Identitätsprofile mitgeliefert, die sich über Browserplugins nutzen lassen. Für Hacker ist das nur ein kleiner Aufwand, der aber den Sicherheitsgewinn durch RBA komplett aufhebt.