Anzeige
Mehr »
Login
Dienstag, 27.07.2021 Börsentäglich über 12.000 News von 669 internationalen Medien
Setzt jetzt der Dollar-Regen ein? Die Transformation zur sprudelnden Gold-Quelle!
Anzeige

Indizes

Kurs

%
News
24 h / 7 T
Aufrufe
7 Tage

Aktien

Kurs

%
News
24 h / 7 T
Aufrufe
7 Tage

Xetra-Orderbuch

Fonds

Kurs

%

Devisen

Kurs

%

Rohstoffe

Kurs

%

Themen

Kurs

%

Erweiterte Suche
Dow Jones News
368 Leser
Artikel bewerten:
(0)

Angreifer verschaffen sich Zugriff auf SMS-basierte 2-Faktor-Authentifizierung - ESET-Forscher analysieren neuartige Technik, die Google-Richtlinien umgeht

Dow Jones hat von Pressetext eine Zahlung für die Verbreitung dieser Pressemitteilung über sein Netzwerk erhalten.

Jena (pts022/17.06.2019/12:00) - ESET-Forscher haben gefälschte 
Kryptowährungs-Apps aus Google Play analysiert, die mit neuartigen Techniken 
Zugriff auf die SMS-basierte 2-Faktor-Authentifizierung (2FA) erhalten. Hierzu 
umgehen die Apps die von Google erst kürzlich aufgestellten Richtlinien für den 
Zugriff auf Telefonie- und SMS-Logs. Über einen Umweg erhalten die Apps 
Zugriff auf diese Daten: Dabei erschleichen sich die Programme die Berechtigung, 
Benachrichtigungen auf dem Gerätedisplay lesen zu dürfen. Eine eingehende SMS 
oder E-Mail mit einem Einmalpasswort ist so für die Angreifer einsehbar. Es 
besteht die Möglichkeit, dass Cyberkriminelle diese Methode zukünftig auch für 
Angriffe auf das Online-Banking und andere Dienste, die auf eine SMS-basierte 
2FA setzen, ausnutzen. 
 
"Die neuen Google-Regeln, dass Apps nicht mehr einfach so Zugriff auf die 
Telefonie- und SMS-Logs erhalten, war ein richtiger Schritt zum Schutz der 
SMS-basierten 2-Faktor-Authentifizierung", erklärt ESET Security Specialist 
Thomas Uhlemann. "Nun sehen wir den ersten Fall, wie Cyberkriminelle diese 
Richtlinie versuchen zu umgehen, um weiterhin an diese Informationen zu 
gelangen. Für Angriffe gegen das mTAN-Verfahren beim Online-Banking und ähnliche 
Arten der 2FA ist diese neuartige Technik geeignet." 
 
Angriffe auf Online-Banking-Kunden denkbar 
 
Das sogenannte mTAN-Verfahren, bei dem Bankkunden für jeden Auftrag eine Nummer 
per SMS erhalten, kann hierüber angegriffen werden. Das System gilt bereits seit 
einer Weile nicht mehr als sicher, da der Versand von SMS-Nachrichten 
unverschlüsselt erfolgt. Dennoch setzen noch immer einige Banken auf dieses 
Verfahren. Auch andere Dienste, die eine SMS für die 2FA nutzen, sind 
grundsätzlich mit dieser Technik angreifbar. 
 
Cyberkriminelle versuchen an Einmalkennwörter zu gelangen 
 
Die Anwendungen geben sich als vermeintliche Apps der türkischen 
Kryptowährungs-Börse BtcTurk aus. Unter anderem heißen diese Programme 
"BTCTurk Pro Beta", "BtcTURK Pro Beta" und "BTCTURK PRO". Die Betrüger versuchen 
hierüber an die Login-Daten zu dem Marktplatz zu gelangen. Um auch an das 
Einmalkennwort für die 2-Faktor-Authentifizierung zu gelangen, erschleichen sich 
die schädlichen Apps die Berechtigung, um Benachrichtigungen auf dem 
Gerätedisplay lesen zu können. So versuchen die Kriminellen dann an das 
benötigte Kennwort zu gelangen. Die Angreifer haben es dabei gezielt auf 
Benachrichtigungen durch E-Mail- und SMS-Apps abgesehen. Diese Methode hat aber 
ihre Grenzen: Kriminelle können lediglich den Text sehen, der in das 
Benachrichtigungsfeld passt. Generell sind die Texte bei der 
Zwei-Faktor-Authentifizierung per SMS kurz gehalten. Daher ist die Chance hoch, 
dass auch das Einmalpasswort sichtbar ist. Die Schad-Apps wurden im Juni 2019 
bei Google Play hochgeladen und wurden kurz darauf nach der Benachrichtigung 
durch ESET wieder gelöscht. 
 
Neue Richtlinien sollen sensible Daten vor Missbrauch schützen 
 
Google wollte mit einer Änderung in den Richtlinien des Play Store die SMS- 
und Telefonie-Logs von Android-Nutzern vor Missbrauch schützen. Es dürfen nur 
Apps aus dem Play Store nach Zugriff auf diese Daten fragen, wenn sie als 
Standard-Apps für Telefonate oder SMS festgelegt wurden. Auch wenn Sie die 
vorinstallierten Anwendungen hierfür ersetzen. Apps, die aus auf den Diebstahl 
von Anmeldeinformationen abgesehen haben, verloren so die Möglichkeit sich diese 
Berechtigung zu erschleichen und damit die SMS-basierte 
Zwei-Faktor-Authentifizierung für kriminelle Zwecke auszunutzen. 
 
Die aktuellen Forschungsergebnisse haben die ESET-Experten auf WeLiveSecurity 
veröffentlicht: 
https://www.welivesecurity.com/deutsch/2019/06/17/android-malware-umgeht-2fa-byp 
ass-technik/ 
 
(Ende) 
 
Aussender: ESET Deutschland GmbH 
Ansprechpartner: Christian Lueg 
Tel.: +49 3641 3114 269 
E-Mail: christian.lueg@eset.de 
Website: www.eset.com/de 
 
Quelle: http://www.pressetext.com/news/20190617022 
 
 

(END) Dow Jones Newswires

June 17, 2019 06:00 ET (10:00 GMT)

Kostenloser Wertpapierhandel auf Smartbroker.de
© 2019 Dow Jones News
Werbehinweise: Die Billigung des Basisprospekts durch die BaFin ist nicht als ihre Befürwortung der angebotenen Wertpapiere zu verstehen. Wir empfehlen Interessenten und potenziellen Anlegern den Basisprospekt und die Endgültigen Bedingungen zu lesen, bevor sie eine Anlageentscheidung treffen, um sich möglichst umfassend zu informieren, insbesondere über die potenziellen Risiken und Chancen des Wertpapiers. Sie sind im Begriff, ein Produkt zu erwerben, das nicht einfach ist und schwer zu verstehen sein kann.