Es ist möglich, Facebook-Konten mit wenig mehr als einer Telefonnummer zu kompromittieren, haben Forscher gewarnt.

Ein Sicherheitsteam von Positive Technologies behauptet, dass man, wenn man die Telefonnummer seines beabsichtigten Opfers kennt, dank Sicherheitsmängeln im SS7-Protokoll in dessen verknüpftes Facebook-Konto einbrechen kann.

Wie Forbes berichtet, gibt es ein Segment der zentralen Telekommunikationsinfrastruktur, das seit einem halben Jahrzehnt anfällig für Angriffe ist.

SS7 ist ein 1975 entwickeltes Protokoll, das weltweit verwendet wird, um zu definieren, wie Netzwerke in einem öffentlichen Telefonnetz (PSTN) Informationen über ein digitales Signalisierungsnetz austauschen. Ein auf SS7 basierendes Netz vertraut jedoch standardmäßig auf Nachrichten, die über dieses Netz gesendet werden, unabhängig davon, woher die Nachricht stammt.

Die Sicherheitslücke liegt im Netz und in der Art und Weise, wie SS7 diese Anfragen behandelt, und nicht in einem Fehler der Facebook-Plattform. Cyberangreifer müssen lediglich das „Konto vergessen?“-Verfahren auf der Facebook-Homepage befolgen und auf die Frage nach einer Telefonnummer oder E-Mail-Adresse die legitime Telefonnummer angeben.

Sobald Facebook eine SMS-Nachricht mit dem einmaligen Code für den Zugriff auf das Konto verschickt hat, kann die SS7-Sicherheitslücke ausgenutzt werden, um diesen Code auf das eigene Mobilgerät des Angreifers umzuleiten und ihm Zugriff auf das Konto des Opfers zu gewähren.

Positive Technologies hat ein Proof-of-Concept (PoC)-Video zur Verfügung gestellt, in dem der Angriff demonstriert wird.

Das Opfer muss seine Telefonnummer mit dem Zielkonto verknüpft haben, aber da die Sicherheitslücke innerhalb des Telekommunikationsnetzes und nicht in Online-Domänen gefunden wird, funktioniert dieser Angriff auch gegen jeden Webdienst, der das gleiche Verfahren zur Wiederherstellung des Kontos verwendet – wie Gmail und Twitter.

Die zweistufige Verifizierung wird immer wichtiger, aber bis die Schwachstellen in den Telekommunikationsdiensten behoben sind, ist die Verwendung von E-Mail-Wiederherstellungsmethoden möglicherweise die beste Lösung – ebenso wie die Verwendung sehr starker, komplexer Passwörter für alle E-Mail-Hauptkonten, die Sie für andere Online-Dienste verwenden.