Sicherheitsforscher wollen eine gravierende Sicherheitslücke entdeckt haben, die alle Facebook-Nutzer betrifft, die ihre Handynummer bei Facebook hinterlegt haben. Damit können Hacker die Kontrolle über fremde Facebook-Konten übernehmen.



Wie die auf IT-Sicherheit spezialisierte Webseite Fossbytes berichtet, können Angreifer mit den geeigneten Tools und Fachwissen fremde Facebook-Konten übernehmen. Sofern diese mit einer gültigen Handynummer verbunden sind. Dieses Problem ist deshalb besonders gravierend, weil Facebook seine Nutzer immer wieder ausdrücklich dazu auffordert eine Handynummer zu hinterlegen, damit das Facebook-Konto wiederhergestellt werden kann, wenn man sein Passwort vergisst.



SS7-Protokoll schon länger unsicher
Gerade diese aus Sicherheitsgründen bei Facebook hinterlegte Handynummer kann Hackern als Einfallstor dienen. Über eine SS7-Lücke. Beim Signalling System 7 (SS7) handelt es sich um eine Sammlung von Protokollen und Verfahren für die Signalisierung in Telekommunikationsnetzen wie zum Beispiel dem Mobilfunknetz. Weltweit benutzen Mobil-Provider SS7. Bereits Ende 2014 zeigten Sicherheitsexperten aber, wie Hacker über das SS7-Protokoll GSM- und UMTS-Verbindungen knacken und abhören sowie Handys orten können.


SS7-Lücke für Facebook-Hack
In besagtem SS7-Protokoll steckt offensichtlich immer noch eine ernste Sicherheitslücke. Kennt ein Hacker die Mobilfunknummer eines Facebook-Benutzers, so kann er die Passwort-Wiederherstellungsfunktion von Facebook nutzen, um Zugriff auf das fremde Facebook-Konto zu bekommen. Indem der Angreifer das von Facebook zur Wiederherstellung erzeugte und per SMS verschickte Einmal-Passwort (OTP-Code, one-time password) durch Ausnutzung der SS7-Lücke (wofür Detailwissen über das betroffene Mobilfunknetz und wohl auch über das verwendete Handy des Angegriffenen erforderlich ist) auf sein eigenes Smartphone umleitet, dort mit einem Sniffer wie Wireshark ausliest und dann auf der Passwort-Wiederherstellungsseite von Facebook eingibt. Danach kann der Angreifer ein neues Passwort für den fremden Facebook-Account erstellen. Das nur der Hacker kennt. Damit ist er dann Herr über das fremde Facebook-Konto und kann dort tun, was er will.





Die Sicherheitsexperten von Positive Technologies erklären ihre Angriffstechnik in einem Proof-of-concept-Video.





Die Sicherheits-Fachleute empfehlen Facebook-Nutzern dringend, keine(!) Handynummer bei Facebook zu hinterlegen. Stattdessen sollen Facebook-Anwender ihr Einmal-Passwort an eine Mailadresse schicken lassen. Und darüber dann ihr Facebook-Passwort zurücksetzen.


Dabei muss betont werden, dass es sich nicht um eine Sicherheitslücke in Facebook handelt, sondern um ein Problem in der von den Mobilfunk-Providern verwendeten SS7-Software. Zudem ist das Ausnutzen der Lücke nicht trivial, es setzt viel Know-How über das betroffene Mobilfunknetz und das Smartphone/Handy des Facebook-Nutzers und die richtigen Tools beim Angreifer voraus.


Quelle: pcwelt.de