Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Anmeldung per SMS: Codes leicht abzufangen – Apple-Nutzer haben Alternative vorinstalliert

Das Absichern von Nutzerkonten via SMS war auf vielen Plattformen über Jahre äußerst beliebt: Nutzer verfügen im Allgemeinen nur über eine Mobilfunknummer, und das Empfangsgerät, ihr Smartphone, haben sie immer dabei. Allmählich traten jedoch immer häufiger die Nachteile dieser scheinbar robusten Authentifizierungsmethode an die Öffentlichkeit. Ein Bericht von Lighthouse Reports dokumentiert nun einen besonders krassen Fall: Ein Whistleblower übermittelte den Journalisten eine Datensammlung von etwa einer Million via SMS versandter Einmal-Codes. Sie stammen alle aus einem einzigen Monat und durchliefen das Netzwerk eines kleinen Telekommunikationsunternehmens, dessen Gründer ebenfalls für Überwachungsunternehmen und Geheimdienste arbeitete.


Jeder dieser Nachrichten war mit umfangreichen Metadaten verknüpft, welche sowohl den Absender als auch die Mobilfunknummer des Empfängers offenbarten. Zur richtigen Zeit in entsprechende Hände umgeleitet, konnte dieser Einmal-Code eine Hintertür in ein Nutzerkonto öffnen. Die Millionen Nachrichten liefen durch das Netzwerk einer kleinen Schweizer Firma namens Fink Telecom Services. Dieses Unternehmen spezialisiert sich darauf, Textnachrichten international zu einem möglichst günstigen Preis zu versenden. Fink Telecom Services offeriert die SMS-Übermittlung in über 100 Länder. Die Web-Plattformen treten oftmals nicht direkt mit diesem Unternehmen in Kontakt; dazwischen befindet sich mindestens eine weitere Ebene an Dienstleistern.

Unternehmer weist Vorwürfe zurück
Bloomberg konfrontierte Firmengründer Andreas Fink mit den Vorwürfen. Er dementierte, dass sein im Jahr 2016 gegründetes Unternehmen die übermittelten Inhalte analysiere oder anderweitig mit ihnen interagiere. Außerdem arbeite Fink Telecom Services mittlerweile nicht mehr im Überwachungssektor. Die Echtheit der Daten wollte er nicht bestätigen. Lighthouse berichtete bereits im Mai 2023 über Fälle, in denen das Unternehmen an gezielten Account-Übernahmen beteiligt gewesen sein soll.

Alternative: Einmalcode oder Passkey
Die grundsätzlich unverschlüsselte Übertragungsform macht es schwierig bis unmöglich, Kommunikation via SMS wirkungsvoll abzusichern. Einzelfälle haben zudem belegt, dass es recht einfach möglich ist, ein Telekom-Unternehmen zum Versand einer zweiten SIM-Karte an eine neue Adresse zu überreden. Seit Jahren existieren sicherere Authentifizierungsmöglichkeiten. In Apples 2024 eingeführten Passwort-App für macOS, iOS, iPadOS und visionOS können Anwender Einmal-Codes für Dienste wie Dropbox einrichten; ein entsprechendes Account wird auf alle per iCloud-Konto verbundenen Geräte synchronisiert. Passkeys gehen einen Schritt weiter und koppeln eine Anmeldung an biometrische Daten, etwa aus Face ID oder einem Touch ID-Sensor.

Die 2024 eingeführte Kennwörter-App ermöglicht eine Account-Verifizierung ohne unverschlüsselte Datenübermittlungen.
Kurz: Bildschirmhintergründe aus iOS 26/macOS 26 (Tahoe) +++ Finder-Icon wechselt die Seiten
Kurz: Bildschirmhintergründe aus iOS 26/macOS 2...
Rosetta 2 ab macOS 28 nur noch eingeschränkt nutzbar
Rosetta 2 ab macOS 28 nur noch eingeschränkt nu...
macOS 26 "Tahoe" – der Sprung um 11 Versionsnummern
macOS 26 "Tahoe" – der Sprung um 11 Versionsnum...
Adobe beginnt mit Preiserhöhungen und ändert Bundle-Zusammensetzung
Adobe beginnt mit Preiserhöhungen und ändert Bu...
Kurz: iOS 18.5 mit Pride-Wallpapern +++ Apple Watch misst noch immer keinen Blutsauerstoff (US)
Kurz: iOS 18.5 mit Pride-Wallpapern +++ Apple W...
Kurz: Mexico verklagt Google wegen "Gulf of America" +++ Neuer Papst mit Apple Watch
Kurz: Mexico verklagt Google wegen "Gulf of Ame...
Simple Vision Pro als Mac-Zubehör geplant?
Simple Vision Pro als Mac-Zubehör geplant?
iOS 18.5: Apple verändert Mail-Kategorien und macht diese etwas nutzbarer
iOS 18.5: Apple verändert Mail-Kategorien und m...

Kommentare

Garak
Garak18.06.25 15:22
Unser Konzern hat SMS Multifaktor Authentifizierung schon lange abgeschafft. Es gelten nur noch Authenticator App mit Codeeingabe (also kein reines Klicken oder Wischen) und Hardware Token als sicher für MFA.

Passkey ist noch in technischer Prüfung, dank Microsofts Unfähigkeit, den technischen Prozess auch unfallfrei anzubieten (wir nutzen Azure Active Directory). Zumindest ist unsere IT Security zumindest Ende vergangenen Jahres noch auf eine Menge Probleme gestoßen.
+5
Dirk!18.06.25 16:30
Was hilft der beste Passkey, wenn bei vielen Diensten (auch Apple) oft noch SMS als Fallback möglich ist, ohne dass man es deaktivieren kann!
+2
ts
ts18.06.25 17:40
Passkeys gehen einen Schritt weiter und koppeln eine Anmeldung an biometrische Daten, etwa aus Face ID oder einem Touch ID-Sensor.
Das ist so in der Form nicht richtig. Es ist möglich, dass man die Passkeys durch biometrische Daten absichert, aber das ist vollkommen optional. Man kann auch optional eine PIN verwenden. Man kann einen Passkey auf manchen Sicherheitsschlüsseln speichern (also per physischem Besitz absichern). Oder man kann einen Passkey gar nicht besonders sichern.

Ich empfinde die Passkeys als großen Rückschritt zu Fido U2F / Fido 2 WebAuthn CTAP1/CTAP2 mit non-discoverable Schlüssen (Passkeys sind discoverable). Der Unterschied liegt darin, dass man die Passkeys irgendwo speichern muss.

Beispiel: Man hat einen Sicherheitsschlüssel, kann dann aber gar keine Passkeys drauf speichern. Oder z.B. nur 25 Stück. Neuere Firmware-Versionen bei YubiKey können maximal 100 Passkeys speichern.

Bei YubiKey gibt's da einen schönen Artikel als Erläuterung zu den Unterschieden.
+1
aMacUser
aMacUser18.06.25 18:12
Dass SMS vollkommen unsicher sind, da es haufenweise Angriffsvektoren gibt, ist seit vielen vielen Jahren öffentlich bekannt. Ich kann bis heute nicht verstehen, wie ein seriöses Unternehmen SMS als regulären zweiten Faktor benutzen kann.
+1
teorema67
teorema6718.06.25 23:18
Samsung versendet per WA. Das ist zumindest deutlich sicherer als SMS
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.