St. Pöltner konnte Netflix-Accounts über Mobilfunk hacken

9. November 2016, 10:20
27 Postings

Mittels Voicemail-Hacking konnten die Passwörter zurückgesetzt werden

Seit langem ist bekannt, dass die Caller-ID in Mobilfunknetzen relativ leicht gefälscht werden kann. Hacker können diesen Umstand ausnutzen, um sich Zugriff auf die Voicemails eines Nutzers zu verschaffen. Ein Sicherheitsforscher aus St. Pölten hat herausgefunden, wie diese Sicherheitslücke ausgenutzt werden konnte, um Passwörter fremder Netflix-Accounts zurückzusetzen

Rufnummernanzeige fälschen und Zugriff auf Voicemails erhalten

Die Caller-ID macht es möglich, dass die Rufnummer eines Anrufers am Display angezeigt wird. Allerdings kann das System auch relativ einfach unterwandert werden, sodass dem Angerufenen eine falsche Nummer gezeigt wird. Unseriöse Callcenter etwa könnten vortäuschen, dass sich ihr Standort im Inland befindet.

Unter Umständen können Hacker mittels Call ID Spoofing aber auch auf die Voicemails eines Nutzers zugreifen. Möglich ist das, wenn ein Mobilfunkanbieter ausschließlich die Caller-ID zur Authentifizierung heranzieht, um die Sprachnachrichten abrufen zu können, und kein weiteres Passwort verlangt. Laut dem österreichischen Sicherheits-Consultant David Wind ist das in Österreich bei T-Mobile der Fall. A1 und "3" sind demnach nicht für Voicemail-Hacking anfällig.

Passwörter über Voicemails abfangen

Abgesehen davon, dass ein Hacker so Zugriff auf die Voicemails eines Nutzers und somit potenziell viele private Informationen hat, kann er noch mehr Schaden anrichten. Denn bei einigen Diensten werden Voicemails eingesetzt, um Codes für die Zwei-Faktor-Authentifikation abzufragen oder Passwörter zurückzusetzen.

Dem Sicherheitsforscher ist aufgefallen, dass Netflix bei der Zurücksetzung des Passworts auf Wunsch des Nutzers entweder ein E-Mail, eine SMS- oder eine Sprachnachricht verschickt. Sofern ein Netflix-Nutzer seine Telefonnummer angegeben hat und einen Mobilfunkprovider nutzt, der anfällig für Voicemail-Hacking ist, konnte der Vorgang dazu missbraucht werden, um das Passwort zurückzusetzen.

Lücke geschlossen

Nachdem Wind das Problem Netflix gemeldet hat, wurde die Sicherheitslücke geschlossen. Wird ein Voicemail zur Passwortzurücksetzung angefordert, wird der Code nun nicht mehr ohne weitere Interaktion des Nutzers durchgesagt. Sofern möglich, sollten Nutzer immer ein Passwort wählen, um ihre Voicemails abrufen zu können. "Ich war überrascht, dass T-Mobile noch immer anfällig für dieses Problem ist", schreibt Wind in seinem Blog. "Das ist nichts Neues". Das Unternehmen hat auf Anfrage des WebStandard mitgeteilt, dass man sich das Problem ansehen werden. (Birgit Riegler, 9.11.2016)

  • Mit gefälschten Rufnummern (Call ID Spoofing) können sich Hacker unter gewissen Umständen Zugriff auf Voicemails verschaffen. Nutzt ein Service Voicemails, um Passwörter zurücksetzen zu lassen, kann der Account ohne Zutun des Nutzers übernommen werden. Das war bis vor kurzem auch bei Netflix der Fall.
    foto: mike blake / reuters

    Mit gefälschten Rufnummern (Call ID Spoofing) können sich Hacker unter gewissen Umständen Zugriff auf Voicemails verschaffen. Nutzt ein Service Voicemails, um Passwörter zurücksetzen zu lassen, kann der Account ohne Zutun des Nutzers übernommen werden. Das war bis vor kurzem auch bei Netflix der Fall.

Share if you care.