Update 3.6.: Das sagen Deutsche Telekom und O2
Wir haben Deutsche Telekom, Vodafone und Telefónica Germany/O2 gefragt, ob durch die unten beschriebene Lücke auch Kunden in den deutschen Mobilfunknetzen bedroht sind.
Das sagt Telefónica Germany/O2
Die Pressestelle von Telefónica Germany/O2 schickte uns diese Stellungnahme: “Das geschilderte Phishing-Szenario ist in jedem Mobilfunknetz möglich. … Für den geschilderten Angriff ist neben der erheblichen kriminellen Energie der Betrüger auch die unbewusste Mitarbeit des oder der App-Nutzer notwendig. Deshalb sollten Verbraucher aktuell besonders vorsichtig sein und prinzipiell unbekannten Personen keine entsprechenden Informationen bekannt machen oder etwaigen Anweisungen Folge leisten.“
O2 schließt sich zudem unserem Rat an und empfiehlt dringend die Aktivierung der Zwei-Faktor-Authentifizierung für das Whatsapp-Konto.
Das sagt die Telekom zu dieser Lücke
Die Deutsche Telekom bestätigt zwar grundsätzlich die Existenz dieser Angriffsmöglichkeit. Doch die Telekom schätzt deren Ausnutzbarkeit als sehr theoretisch ein. Die Telekom schreibt auf unsere Nachfrage: ” Das Szenario, so wie es von Sicherheitsforschern skizziert wurde, ist uns bekannt. In ‘freier Wildbahn’ gesehen haben wir so etwas aber noch nicht. Möglich ist es theoretisch – der Knackpunkt ist halt die Einrichtung der Weiterleitung. Diese sogenannten USSD-Strings sind ein Merkmal der GSM-Mobilfunkstandards und betreffen damit alle Netzbetreiber. Diese haben sich unter Nerds durchgesetzt, Lieschen Müller tut sich damit eher schwer. Denkbar wäre ein Vorgehen, bei dem das Opfer sein Telefon gutgläubig aus der Hand gibt und Dritten so die Einrichtung ermöglicht. Diese können so den 2. Faktor im Fall von Whatsapp aushebeln, wie es in dem Artikel beschrieben wird. “
Dieser letzte Hinweis mit dem “aus-der-Hand-geben” des Handys ist in der Tat spannend. So könnte sich dieser Angriff tatsächlich realisieren lassen.
Vodafone hat noch nicht geantwortet. Update Ende
Mit einem fiesen Trick können Hacker ein fremdes Whatsapp-Konto übernehmen und Zugriff auf dessen persönliche Nachrichten und Kontaktlisten bekommen. Das berichtet die US-IT-Sicherheitsnachrichtenseite Bleeping Computer unter Berufung auf einen entsprechenden Beitrag von Rahul Sasi, CEO von CloudSEK, auf Linkedin. Der Angreifer benötigt dafür nur wenige Minuten. Der Angreifer muss aber die Telefonnummer des Opfers kennen und zudem einige Social-Engineering-Tricks beherrschen.
Angreifer muss sein Opfer am Telefon überzeugen
Denn der Angreifer muss das Opfer anrufen und mit seinem Anruf dazu bringen, eine Telefonnummer anzurufen, die mit einem sogenannten “Man Machine Interface Code” (MMI) beginnt. Diese Technik nutzen Mobilfunkprovider eigentlich für das Weiterleiten von Anrufen, wenn der Anschluss besetzt oder nicht erreichbar ist. Je nach Mobilfunknetzbetreiber kann ein MMI-Code aber auch alle Anrufe an ein Endgerät an eine andere Nummer weiterleiten. Derartige Codes beginnen immer mit “*” oder mit “#” – beispielsweise **67* – und sind zehnstellig.
Der Sicherheitsforscher erklärt , dass die 10-stellige Nummer, die das Opfer anrufen soll, dem Angreifer gehört und der vorangestellte MMI-Code den Mobilfunkanbieter anweist, alle Anrufe an die danach angegebene Telefonnummer weiterzuleiten. Das Opfer stimmt mit seinem Anruf an diese MMI-Nummer also der Weiterleitung aller seiner Anrufe an eine andere Nummer zu.
Damit kann der Angreifer nun für das Whatsapp-Konto die Registrierung und Verifizierung auf seinem eigenen Gerät starten. Inklusive Verifizierungscode, der dank MMI-Weiterleitung ja nun an das Handy des Hackers geschickt wird. Und schon ist das Whatsapp-Konto gekapert inklusive der Möglichkeit, dass der Hacker nun die 2-Faktor-Authentifizierung dafür einrichtet. Das bedeutet: Der eigentliche Besitzer des Whatsappkontos ist von seinem eigenen Whatsapp-Konto ausgesperrt.
Diese Hürden muss der Angreifer nehmen
Bleeping Computer konnte diese Angriffsmethode zumindest bei den Providern Verizon und Vodafone nachstellen. Allerdings gibt es durchaus einige Hürden für die Angreifer. So muss der Mobilfunkprovider idealerweise MMI-Code verwenden, der alle Anrufe in allen Fällen weiterleitet und nicht nur in solchen Fällen, wenn das Telefon besetzt ist. Andernfalls müsste es der Angreifer schaffen, sein Opfer so lange am Telefon zu halten, bis der Whatsapp-Authentifizierungscode geschickt wurde und – da das Handy des Opfers ja durch den Anruf mit dem Hacker besetzt ist – dank MMI an das Handy des Hackers weitergeleitet wurde.
Zudem erhält der Besitzer des Whatsapp-Kontos Textnachrichten, die ihn darüber informieren, dass sein Whatsapp-Konto auf einem anderen Gerät registriert worden ist. Obendrein wird bei aktivierter Anrufweiterleitung ein diesbezüglicher Hinweis auf dem Smartphone des Opfers angezeigt.
So schützen Sie sich
Es gibt aber einen einfachen Schutz gegen diese Angriffsmethode: Richten Sie für Whatsapp die Zwei-Faktor-Authentifizierung ein! Dann hat der Angreifer keine Chance.