Digital Life
19.09.2017

Gmail und SMS: So lassen sich Bitcoin-Wallets hacken

Sicherheitsforscher warnen vor gängiger Zweifaktor-Authentifizierung per SMS. Sie zeigen auf, wie einfach eine Coinbase-Geldbörse geknackt werden kann.

Sicherheitsexperten der US-Firma Positive Technologies haben einmal mehr demonstriert, dass die mittlerweile weitverbreitete Zwei-Faktor-Authentifizierung mittels SMS-Code ein Sicherheitsrisiko bedeutet. In einem Hack zeigen sie, wie einfach ein Coinbase-Account, in dem Kryptowährung gespeichert ist, geknackt und des wertvollen Inhalts beraubt werden kann. Der Angreifer muss lediglich Vor- und Nachnamen und Telefonnummer des Opfers kennen.

Attacke über Gmail-Recovery

In einem Video wird der Angriff veranschaulicht. Da der Coinbase-Account mit einer Gmail-Adresse verknüpft ist, geht es zunächst darum, das Gmail-Konto zu kapern. Das geschieht über Googles Recovery-Funktion, die einem die eigene E-Mail-Adresse mitteilt, wenn man einen angeforderten SMS-Code sowie den Vor- und Nachnamen eingibt. Laut Positive Technologies können Schwachstellen des weltweit verbreiteten Mobilfunk-Übertragungsprotokolls SS7 ausgenutzt werden, um das SMS abzufangen.

Der Rest ist schnell erledigt. Mit dem abgefangenen und dann auf der Google-Seite eingegebenen SMS erhält der Angreifer Zugriff auf die E-Mail-Adresse. Wenn er diese kennt, kann er das Passwort mit dem gleichen Vorgang bei Gmail ändern lassen. Dazu muss einmal mehr das SMS abgefangen werden. Ist der Gmail-Account einmal unter Kontrolle gebracht, kann auch das Coinbase-Kennwort zurückgesetzt werden - der Änderungslink trudelt ja im Gmail-Konto ein, das man gerade übernommen hat. Über das neu gewählte Passwort erhält man schließlich Zugriff auf die Bitcoin-Wallet und kann alles leerräumen.

Warnung vor Hack

Positive Technologies will den gezeigten Hack als Warnung für die Telko-Branche, aber auch andere Unternehmen verstanden wissen, die heute auf diese Art der Zweifaktor-Authentifizierung setzen. Wie Techcrunch in einem Artikel zu dem Thema schlüssig argumentiert, wird die Problematik noch verschärft, da per SMS versendete Token mittlerweile häufig nicht mehr nur am Handy allein landen, sondern wie etwa bei iMessage dann auf verschiedene Geräte wie Computer und Tablets gleichzeitig weitergeleitet werden.