Int.-Auskunft   Tel.-Analyse   Übersetzer    IP-Locator    Whois   ImageShack   TinyURL   Google
Homepage Scambaiter Deutschland Forum Romance-Scambaiter Scambaiter - Deutschland Antispam
Zum Seitenanfang Schritt hoch Schritt runter Zum Seitenende

Hacker können jedes Facebook-Konto mit Handynummer übernehmen

#1 von Roadrunner , 17.06.2016 10:35

Zitat


Hacker können jedes Facebook-Konto mit Handynummer übernehmen
16.06.2016 | 11:42 Uhr | Hans-Christian Dirscherl

Hacker können jedes Facebook-Konto mit Handynummer übernehmen

Sicherheitsforscher wollen eine gravierende Sicherheitslücke entdeckt haben, die alle Facebook-Nutzer betrifft, die ihre Handynummer bei Facebook hinterlegt haben. Damit können Hacker die Kontrolle über fremde Facebook-Konten übernehmen.
Wie die auf IT-Sicherheit spezialisierte Webseite Fossbytes berichtet, können Angreifer mit den geeigneten Tools und Fachwissen fremde Facebook-Konten übernehmen. Sofern diese mit einer gültigen Handynummer verbunden sind. Dieses Problem ist deshalb besonders gravierend, weil Facebook seine Nutzer immer wieder ausdrücklich dazu auffordert eine Handynummer zu hinterlegen, damit das Facebook-Konto wiederhergestellt werden kann, wenn man sein Passwort vergisst.

Diese Sicherheitsmaßnahme von Facebook kann zumindest theoretisch zum Bumerang werden.
SS7-Protokoll schon länger unsicher

Gerade diese aus Sicherheitsgründen bei Facebook hinterlegte Handynummer kann Hackern als Einfallstor dienen. Über eine SS7-Lücke. Beim Signalling System 7 (SS7) handelt es sich um eine Sammlung von Protokollen und Verfahren für die Signalisierung in Telekommunikationsnetzen wie zum Beispiel dem Mobilfunknetz. Weltweit benutzen Mobil-Provider SS7. Bereits Ende 2014 zeigten Sicherheitsexperten aber, wie Hacker über das SS7-Protokoll GSM- und UMTS-Verbindungen knacken und abhören sowie Handys orten können.

SS7-Lücke für Facebook-Hack

In besagtem SS7-Protokoll steckt offensichtlich immer noch eine ernste Sicherheitslücke. Kennt ein Hacker die Mobilfunknummer eines Facebook-Benutzers, so kann er die Passwort-Wiederherstellungsfunktion von Facebook nutzen, um Zugriff auf das fremde Facebook-Konto zu bekommen. Indem der Angreifer das von Facebook zur Wiederherstellung erzeugte und per SMS verschickte Einmal-Passwort (OTP-Code, one-time password) durch Ausnutzung der SS7-Lücke (wofür Detailwissen über das betroffene Mobilfunknetz und wohl auch über das verwendete Handy des Angegriffenen erforderlich ist) auf sein eigenes Smartphone umleitet, dort mit einem Sniffer wie Wireshark ausliest und dann auf der Passwort-Wiederherstellungsseite von Facebook eingibt. Danach kann der Angreifer ein neues Passwort für den fremden Facebook-Account erstellen. Das nur der Hacker kennt. Damit ist er dann Herr über das fremde Facebook-Konto und kann dort tun, was er will.

Passwort-Wiederherstellung
Die Sicherheitsexperten von Positive Technologies erklären ihre Angriffstechnik in einem Proof-of-concept-Video.

Die Sicherheits-Fachleute empfehlen Facebook-Nutzern dringend, keine(!) Handynummer bei Facebook zu hinterlegen. Stattdessen sollen Facebook-Anwender ihr Einmal-Passwort an eine Mailadresse schicken lassen. Und darüber dann ihr Facebook-Passwort zurücksetzen.

Dabei muss betont werden, dass es sich nicht um eine Sicherheitslücke in Facebook handelt, sondern um ein Problem in der von den Mobilfunk-Providern verwendeten SS7-Software. Zudem ist das Ausnutzen der Lücke nicht trivial, es setzt viel Know-How über das betroffene Mobilfunknetz und das Smartphone/Handy des Facebook-Nutzers und die richtigen Tools beim Angreifer voraus.



© http://www.pcwelt.de/news/Hacker-koennen...=539567&pm_ln=8



Sola Scriptura

In a world without walls and fences,
who needs windows and gates?
Linux is like a wigwam with an Apache inside

¥$ WE $CAN


 
Roadrunner
Moderator/Medienjunkie
!
Beiträge: 8.839
Registriert am: 11.01.2010

zuletzt bearbeitet 17.06.2016 | Top

RE: Hacker können jedes Facebook-Konto mit Handynummer übernehmen

#2 von Motzgurke , 17.06.2016 10:45

Und schon wieder ein Moment, an dem ich froh bin, nicht bei FB zu sein...


 
Motzgurke
Beiträge: 3.573
Registriert am: 07.07.2013


   

Die neuen Tricks der Hacker
Razzia und Festnahmen beim Dating-Portal Lovoo.

Xobor Einfach ein eigenes Forum erstellen
Datenschutz