Voicemail-Hacking: T-Mobile schließt Sicherheitslücke

10. November 2016, 11:01
1 Posting

Sicherheitsforscher zeigte, wie die Lücke zum Knacken von Online-Diensten missbraucht werden konnte

Der heimische Mobilfunker T-Mobile hat eine Sicherheitslücke geschlossen, die es Hackern ermöglichte mittels Caller ID Spoofing Zugriff auf fremde Mailboxen zu erhalten. Ein niederösterreichischer Sicherheitsforscher hatte beschrieben, wie diese Methode ausgenutzt werden konnte, um bei fremden Netflix-Accounts das Passwort ohne Zutun der Nutzer zurückzusetzen.

Zugriff auf fremde Mailboxen

Voraussetzung für diesen Hack ist, wenn bei der Abfrage der Voicemails keine Pin-Code-Eingabe verlangt wird. Hacker können mittels Caller ID Spoofing vorgeben mit der Rufnummer eines Kunden auf dessen Mobilbox anzurufen. So können nicht nur private Nachrichten, sondern auch als Voicemail verschickte Codes von Online-Diensten abgegriffen werden.

T-Mobile hat bislang keine Pin-Code-Eingabe beim Zugriff auf die Mailbox verlangt. Nach einer Anfrage des WebStandards, hat das Unternehmen diese Sicherheitslücke nun geschlossen. "Wir können bestätigen, dass es eine Schwäche bei der Voice-Mail-Abfrage gibt, wie sie vom Autor beschrieben wurde. Um diese möglichst rasch zu beseitigen wird bei Anrufen zur Mailbox, die nicht aus dem T-Mobile-Netz von der eigenen T-Mobile-Rufnummer kommen, nunmehr der Pin-Code des Users abgefragt", sagt Sprecher Helmut Spudich zum WebStandard. Diesen Pin-Code müssen Nutzer beim ersten Einrichten der Mailbox vergeben. Die Sicherheitshürde wird derzeit aktiviert und sollte spätestens nach einem Tag bei allen Nutzern aktiv sein.

Kein Missbrauch bekannt

Rufen T-Mobile-Kunden ihre Mobilbox mit von ihrer eigenen Nummer aus dem T-Mobile-Netz an, ist weiterhin keine Pin-Code-Eingabe notwendig. Denn da ist laut dem Unternehmen eine eindeutige Identifikation der T-Mobile-Rufnummer möglich, sodass keine andere vorgetäuscht werden kann. A1 und "3" waren laut dem Sicherheitsforscher schon bisher nicht für Voicemail-Hacking anfällig. Nach Angaben von T-Mobile wurde bislang kein Missbrauch der Sicherheitslücke bekannt. (Birgit Riegler, 10.11.2016)

  • T-Mobile behebt eine Sicherheitslücke, die es erlaubte auf fremde Mailboxen zuzugreifen.
    foto: reuters/leonhard foeger

    T-Mobile behebt eine Sicherheitslücke, die es erlaubte auf fremde Mailboxen zuzugreifen.

Share if you care.