Manchen können schlechte Absichten unterstellt werden

Beide Dienste behaupten, die Identität eines Users genauer feststellen zu müssen. Der Login kann nur fortgesetzt werden, wenn auf der Stelle eine Telefonnummer eingegeben wird, an die ein Code versendet werden kann, um die Authentifizierung abzuschließen.

Stellenmarkt
  1. Defence Spezialist (m/w/d) Informationssicherheit
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Informatiker*in oder Elektroingenieur*in (m/w/d) mit Spezialisierung im Bereich Data Science und KI-gestützte Softwareanwendungen
    Institut für Arbeitswissenschaft und Technologiemanagement der Universität Stuttgart (IAT), Stuttgart
Detailsuche

Natürlich ist das nur der Fall, wenn dem Konto noch keine Telefonnummer zugeordnet ist oder wenn man sie wieder aus dem Profil gelöscht hat, weil die eigene Handynummer für den Dienst eigentlich nicht notwendig ist. Wenn ein Anbieter dieses Fehlen einer Handynummer als Sicherheitsbedenken bezeichnet, ist das nichts anderes als dreist. Denn ein Angreifer kann durchaus eine Handynummer eingeben, auf deren SMS Zugriff besteht - es gibt sogar ein paar Internetseiten, die alle SMS anzeigen, die an eine bestimmte Nummer geschickt werden. Die Hackeranonymität bleibt dabei gewahrt.

Offensichtlich handelt es sich hier also hauptsächlich um ein Datensammelfeature und nicht um eine Abfrage, die mehr Sicherheit garantiert. Internetnutzer haben guten Grund, gerade Facebook möglichst viele Daten vorzuenthalten, wie das aktuelle Datenleck wieder gezeigt hat. Facebook hat dabei einmal mehr unter Beweis gestellt, wie wenig Verständnis es dort für die gesamte Datenschutzproblematik gibt.

Dass es ums Datensammeln geht, wird auch dadurch deutlich, dass bei den meisten Diensten nicht einmal unterschieden wird, für welche Funktionalität die Telefonnummer eingegeben wurde. Sie landet immer einfach im Nutzerprofil. Das hatte schon zur Folge, dass für die Zwei-Faktor-Authentifizierung eingegebene Nummern für Werbezwecke verwendet wurden, zum Beispiel bei Twitter und Facebook.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Mit zunehmender Beliebtheit von RBA-Systemen haben sich im Übrigen auch Hacker immer mehr dafür interessiert, wie die Bewertungsmodule ausgetrickst werden können. Eine Lösung ist recht einfach und kostet nicht viel Aufwand: Für Webseiten genügt es vollkommen, den Hacker-Browser die Daten versenden zu lassen, die das RBA-System von einem bestimmten Nutzer erwartet. Das Gute für die Hacker ist dabei, dass an diese Daten nicht schwer heranzukommen ist.

Der problematischste Angriffsweg

Denn wenn eine Webseite die Kontextinformationen aus dem Browser abfragt, sei es aus dem HTTP-Header oder mit Hilfe von Javascript, Java, bis vor kurzem Flash oder anderen aktiven Inhalten, kann dies auch jede andere Webseite tun. Surfen Internetnutzer eine Webseite an, hinterlassen sie dort immer wieder die gleichen Header-Informationen, abgesehen von Daten aus domainbezogenen Cookies.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Angreifer können also problemlos die gleichen Header-Informationen mit einer anderen IP-Adresse übermitteln und sind so schnell im Geschäft. Welche Informationen über aktive Inhalte von einem konkreten RBA-System ausgelesen werden, kann mit etwas mehr Aufwand ebenfalls analysiert und dann nachgebildet werden. Der aktive Inhalt läuft schließlich auf dem Client-Computer.

Die Schwierigkeit besteht also nur darin, einen Nutzer auf eine eigene Webseite zu locken und diesen dann auch einem Konto zuzuordnen, dessen Passwort man bereits besitzt - was aber nicht rasend schwer ist, wie E-Mail-Spammer schon seit ein paar Jahrzehnten unter Beweis stellen. Aus diesem Grund werden bei Listen von gehackten Accounts inzwischen öfter Identitätsprofile mitgeliefert, die sich über Browserplugins nutzen lassen. Für Hacker ist das nur ein kleiner Aufwand, der aber den Sicherheitsgewinn durch RBA komplett aufhebt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Bringt das denn etwas für die Sicherheit?Datenbewusste Nutzer haben ein Problem 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Materialforschung: Leichtes Schallschutzmaterial für leisere Luftfahrt
    Materialforschung
    Leichtes Schallschutzmaterial für leisere Luftfahrt

    Das Material wiegt nicht einmal ein Zehntel so viel wie heute eingesetzter Schaum zur Schalldämmung. Einsatzmöglichkeiten sehen die Erfinder vor allem in der Luftfahrt.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. World of Warcraft, Pokémon, Bitcoin: Moba Pokémon Unite startet schon bald
    World of Warcraft, Pokémon, Bitcoin
    Moba Pokémon Unite startet schon bald

    Sonst noch was? Was am 18. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

mucpower 07. Jun 2021 / Themenstart

genau das ist das Problem. Deine Telefonnummer hat irgendjemand aus dem Bekanntenkreis...

tom.stein 26. Mai 2021 / Themenstart

Der Gedankenansatz, dass man für RBA irgendwelche weiteren dem Benutzer zugeordneten...

Cilli 26. Mai 2021 / Themenstart

Ich kann der Einschätzung des Autors nicht zustimmen. RBA kommt vor allem bei Diensten in...

Blaubeerchen 26. Mai 2021 / Themenstart

Artikulierung und Formatierung spielen nun mal auch ne Rolle, das sollte man gerade als...

Blaubeerchen 26. Mai 2021 / Themenstart

Ich z.B. nutze eine physische Zweit-SIM-Karte einfach als reinen Empfängerdienst für 2FA...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • Prime-Filme leihen für je 0,99€ • Weekend Deals (u. a. Seagate Expansion+ 4TB 89,90€) • 10% auf Gaming bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) • Apple Weekend bei MediaMarkt [Werbung]
    •  /