Manchen können schlechte Absichten unterstellt werden

Beide Dienste behaupten, die Identität eines Users genauer feststellen zu müssen. Der Login kann nur fortgesetzt werden, wenn auf der Stelle eine Telefonnummer eingegeben wird, an die ein Code versendet werden kann, um die Authentifizierung abzuschließen.

Stellenmarkt
  1. IT-Mitarbeiter im First-Level-Support (m/w/d)
    UKM - Universitätsklinikum Düsseldorf Medical Services GmbH, Düsseldorf
  2. Datenbankadministrator (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
Detailsuche

Natürlich ist das nur der Fall, wenn dem Konto noch keine Telefonnummer zugeordnet ist oder wenn man sie wieder aus dem Profil gelöscht hat, weil die eigene Handynummer für den Dienst eigentlich nicht notwendig ist. Wenn ein Anbieter dieses Fehlen einer Handynummer als Sicherheitsbedenken bezeichnet, ist das nichts anderes als dreist. Denn ein Angreifer kann durchaus eine Handynummer eingeben, auf deren SMS Zugriff besteht - es gibt sogar ein paar Internetseiten, die alle SMS anzeigen, die an eine bestimmte Nummer geschickt werden. Die Hackeranonymität bleibt dabei gewahrt.

Offensichtlich handelt es sich hier also hauptsächlich um ein Datensammelfeature und nicht um eine Abfrage, die mehr Sicherheit garantiert. Internetnutzer haben guten Grund, gerade Facebook möglichst viele Daten vorzuenthalten, wie das aktuelle Datenleck wieder gezeigt hat. Facebook hat dabei einmal mehr unter Beweis gestellt, wie wenig Verständnis es dort für die gesamte Datenschutzproblematik gibt.

Dass es ums Datensammeln geht, wird auch dadurch deutlich, dass bei den meisten Diensten nicht einmal unterschieden wird, für welche Funktionalität die Telefonnummer eingegeben wurde. Sie landet immer einfach im Nutzerprofil. Das hatte schon zur Folge, dass für die Zwei-Faktor-Authentifizierung eingegebene Nummern für Werbezwecke verwendet wurden, zum Beispiel bei Twitter und Facebook.

Golem Akademie
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    20.-24.06.2022, virtuell
Weitere IT-Trainings

Mit zunehmender Beliebtheit von RBA-Systemen haben sich im Übrigen auch Hacker immer mehr dafür interessiert, wie die Bewertungsmodule ausgetrickst werden können. Eine Lösung ist recht einfach und kostet nicht viel Aufwand: Für Webseiten genügt es vollkommen, den Hacker-Browser die Daten versenden zu lassen, die das RBA-System von einem bestimmten Nutzer erwartet. Das Gute für die Hacker ist dabei, dass an diese Daten nicht schwer heranzukommen ist.

Der problematischste Angriffsweg

Denn wenn eine Webseite die Kontextinformationen aus dem Browser abfragt, sei es aus dem HTTP-Header oder mit Hilfe von Javascript, Java, bis vor kurzem Flash oder anderen aktiven Inhalten, kann dies auch jede andere Webseite tun. Surfen Internetnutzer eine Webseite an, hinterlassen sie dort immer wieder die gleichen Header-Informationen, abgesehen von Daten aus domainbezogenen Cookies.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Angreifer können also problemlos die gleichen Header-Informationen mit einer anderen IP-Adresse übermitteln und sind so schnell im Geschäft. Welche Informationen über aktive Inhalte von einem konkreten RBA-System ausgelesen werden, kann mit etwas mehr Aufwand ebenfalls analysiert und dann nachgebildet werden. Der aktive Inhalt läuft schließlich auf dem Client-Computer.

Die Schwierigkeit besteht also nur darin, einen Nutzer auf eine eigene Webseite zu locken und diesen dann auch einem Konto zuzuordnen, dessen Passwort man bereits besitzt - was aber nicht rasend schwer ist, wie E-Mail-Spammer schon seit ein paar Jahrzehnten unter Beweis stellen. Aus diesem Grund werden bei Listen von gehackten Accounts inzwischen öfter Identitätsprofile mitgeliefert, die sich über Browserplugins nutzen lassen. Für Hacker ist das nur ein kleiner Aufwand, der aber den Sicherheitsgewinn durch RBA komplett aufhebt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bringt das denn etwas für die Sicherheit?Datenbewusste Nutzer haben ein Problem 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


mucpower 07. Jun 2021

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...



Aktuell auf der Startseite von Golem.de
Varia RCT716 Dashcam
Jetzt filmen Radfahrer zurück - mit Radarunterstützung

Rücklicht plus Fahrzeugwarnung und Dashcam: Garmin stellt mit dem Varia RCT716 ein Gerät vor, das Bewegtbilder nach Unfällen liefert.

Varia RCT716 Dashcam: Jetzt filmen Radfahrer zurück - mit Radarunterstützung
Artikel
  1. Leica H-X09: Panasonic bringt 9-mm-Weitwinkel im Miniaturformat
    Leica H-X09
    Panasonic bringt 9-mm-Weitwinkel im Miniaturformat

    Das Objektiv Leica DG Summilux 9mm F1.7 von Panasonic wiegt nur 130 Gramm und ist für das Micro-Four-Thirds-System gedacht.

  2. Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
    Halbleiter & SMIC
    Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

    Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

  3. Microsoft: .NET 7 verbessert Kommandozeile und Performance
    Microsoft
    .NET 7 verbessert Kommandozeile und Performance

    Im knappen Monatsrhythmus veröffentlicht Microsoft Previews für das kommende .NET 7. Im Fokus stehen derzeit Startzeit, CLI und natives AOT-Kompilieren.
    Von Fabian Deitelhoff

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /