Sicherheitslücke bei Apple zeigte Passwörter von Millionen US-Mobilfunkkunden

Zwei Sicherheitsforscher haben mehrere Sicherheitslücken entdeckt, die dazu geeignet waren, Millionen Passwörter von Mobilfunkkunden der US-Firmen T-Mobile, Asurion und Sprint auszuspionieren. Das berichtet BuzzFeed mit Hinweis auf die Sicherheitsexperten "Phobia" und Nicholas "Convict" Ceraolo, die die Schwachstellen in Apples Onlineshop und bei Asurion entdeckt hatten. Die betroffenen Unternehmen sollen die Einfallstore bereits geschlossen haben.


Erst zwischen T-Mobile und Apple,…
Bereits am Freitag hieß es in US-Medien, dass die mobilen Kunden-PINs der 77 Millionen T-Mobile-Kunden in den USA durch einen Hack sichtbar gemacht werden konnten. Die Lücke lag in der Verifikationsabfrage für iPhone-Nutzer. Dort verlangt Apple Rufnummer und PIN des T-Mobile-Nutzers, beziehungsweise seine Sozialversicherungsnummer. Hacker konnten an dieser Stelle über eine unendliche Menge an Versuchen – etwa über einen Brute-Force-Angriff – an die richtigen Daten kommen. Für andere US-Mobilfunkkunden war die Anzahl an Eingabeversuchen bereits limitiert, bei Erreichen sperrt sich das Formular für 60 Minuten. Ceraolo gab an, der Fehler habe in der Verknüpfung der T-Mobile-API mit Apples Website gelegen.

dann über Asurion bei AT&T…
Beim Versicherungsanbieter Asurion zeigte sich die Schwachstelle an anderer Stelle, bestand aber im selben Mechanismus: Wer die AT&T-Rufnummer eines Kunden wusste, konnte auf eine andere Seite gelangen, bei der ebenfalls unendlich viele PIN-Versuche am Ende zum Erfolg führen konnten. Ceraolo informierte darüber, dass die meisten PIN-Codes vierstellig ausfallen und daher in einem "vertretbaren Zeitrahmen" erarbeitet werden können. Entsprechende Brute-Force-Attacken wurden jedoch nicht bekannt. AT&T ließ verlauten, man arbeite zusammen mit Asurion daran, die Kunden besser zu schützen.

… zum Schluss bei Sprint
Wenig später berichtete TechCrunch von einem ähnlichen Sicherheitsleck beim Anbieter Sprint. Auf der firmeneigenen Seite nutzte das Unternehmen zwei Sets von leicht zu erratenden User-IDs und Passwörtern. So konnten Experten auf das interne Portal kommen und darüber Zugang zu Nutzerdaten erhalten. Das Mitarbeiter-Portal biete unter anderem Dienste wie Gerätewechsel, Vertragsmanagement und Aktivierungsstatus, warnte der Sicherheitsermittler, der ungenannt bleiben wollte. Auch die Kundendaten von Boost und Virgin Mobile seien betroffen gewesen, da sie zur Sprint-Gruppe gehören. Ein Sprecher bestätigte, Sprint arbeite bereits an einer Lösung für das Problem.

Einfallstore für Identitätsklau
Das Problem bei leicht zu knackenden Webseiten-Accounts der Mobilfunkbetreiber liegt im sogenannten SMS-Hijacking. Bei der Methode leiten Kriminelle Anrufe und SMS auf ein anderes Telefon, etwa per fingierten Kontoumzug, um dann alle möglichen Passwörter per SMS neu anlegen zu lassen. Mithilfe der wiedergestellten Accounts räumen sie dann Bitcoin- und Onlinebanking-Konten leer. Zum Teil sollen dabei auch Zwei-Faktor-Authentifizierungen ausgehebelt worden sein. Erst kürzlich erbeuteten Gauner mehrere Millionen US-Dollar mit dieser Masche.

Kommentare

Kovu
Kovu27.08.18 09:12
Wird wirklich Zeit für etwas moderneres als SIM-Karte mit vierstelliger PIN. Wie oft liest man darüber, dass auch genau dort immer die Schwachstelle ist, wenn es um die Zwei-Faktor-Authentifizierung geht.
-2
netspy
netspy27.08.18 09:42
Was hat die Überschrift „Sicherheitslücke bei Apple zeigte Passwörter von Millionen US-Mobilfunkkunden“ mit dem Artikel zu tun?

Erstens geht es doch wohl um PINs oder Sozialversicherungsnummern und nicht um Passwörter. Zweitens scheinen die Lücken ja nicht bei Apple direkt zu liegen, sondern bei den Mobilfunktanbietern. Drittens lagen auch nicht die PINs im Klartext vor, sondern konnten „nur“ über Brute-Force erraten werden.

Das ist zwar alles andere als harmlos und teils grob fahrlässig von den Mobilfunktanbieten, die Überschrift zum Artikel passt aber nun gar nicht dazu und würde ich eher bei Golem.de oder Heise als typischen Clickbait erwarten.
+3
Quickmix
Quickmix27.08.18 10:12
netspy
Was hat die Überschrift „Sicherheitslücke bei Apple zeigte Passwörter von Millionen US-Mobilfunkkunden“ mit dem Artikel zu tun?

Erstens geht es doch wohl um PINs oder Sozialversicherungsnummern und nicht um Passwörter. Zweitens scheinen die Lücken ja nicht bei Apple direkt zu liegen, sondern bei den Mobilfunktanbietern. Drittens lagen auch nicht die PINs im Klartext vor, sondern konnten „nur“ über Brute-Force erraten werden.

Das ist zwar alles andere als harmlos und teils grob fahrlässig von den Mobilfunktanbieten, die Überschrift zum Artikel passt aber nun gar nicht dazu und würde ich eher bei Golem.de oder Heise als typischen Clickbait erwarten.

+1
+1
xcomma27.08.18 10:51
Die Arbeit zur Ausnutzung einer Sicherheitslücke wollte das deutsche Startup Outfittery seinen Kunden (und wer auch immer Emails mitlesen kann..) nicht zumuten, und liefert den Kundenaccount-Zugriff ohne Login gleich via Email Newsletter praktischerweise mit. Das beste ist noch, dass sie nicht mal einen groben Verstoss ihrerseits darin sehen:
+1
sierkb27.08.18 11:42
AppleInsider (24.08.2018): Flaws in Apple & Asurion websites expose PINs of millions of iPhone users
Although already fixed, security vulnerabilites at Apple's online store and the website for Asurion, a phone insurance firm, recently exposed the PINs of millions of mobile accounts, a report revealed on Friday.

BuzzFeed News (24.08.2018): Security Flaws Inadvertently Left T-Mobile And AT&T Customers' Account PINs Exposed
Mobile account PINs intended to protect T-Mobile and AT&T customers’ accounts were exposed by two security vulnerabilities. After a BuzzFeed News inquiry, the companies fixed the flaws.
-1
sierkb27.08.18 16:21
heise (14.08.2018): Apple-Store-Lücke erlaubt Angriff auf Sicherheits-PINs
Kunden von T-Mobile USA waren von einer potenziellen SIM-Entführung bedroht, da Apple Brute-Force-Angriffe erlaubte.
+2
teorema67
teorema6727.08.18 17:07
netspy
Was hat die Überschrift „Sicherheitslücke bei Apple zeigte Passwörter von Millionen US-Mobilfunkkunden“ mit dem Artikel zu tun?

Das:
MTN
… Die Lücke lag in der Verifikationsabfrage für iPhone-Nutzer. Dort verlangt Apple Rufnummer und PIN ...
Vornehme Leute haben immer viel Müll (badisches Sprichwort)
-2
ocrho27.08.18 17:42
Das Sicherheitsproblem der SMS ist nicht die vierstellige PIN, weil es gibt viel einfachere Einfallstore im alten G2- und G3-Protokoll. Bei LTE sind einige davon bis heute nicht geschlossen.
+2
netspy
netspy27.08.18 21:55
teorema67
Das:

… Die Lücke lag in der Verifikationsabfrage für iPhone-Nutzer. Dort verlangt Apple

… und wo wurden jetzt Passwörter gezeigt? Und wer sagt, dass hier nicht die Mobilfunktanbieter die Eingabe hätten beschränken müssen? Die werden sich ja wohl kaum direkt auf Apples Webseite mit einer Mobilfunk-PIN anmelden.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen