News

Einfacher Bug ermöglicht Einsicht in SMS-Verlauf von Verizon-Kunden

Ein IT-Sicherheitsexperte hat eine Schwachstelle im Web-basierten Kundenportal des größten Mobilfunkanbieters der USA, Verizon Wireless, entdeckt. Sie ermöglicht es absolut jedem, der die Telefonnummer eines Kunden dieses Unternehmens kennt, dessen SMS herunterzuladen – inklusive der Nummern aller Personen, mit denen SMS-Kontakt bestand.

Die Sicherheitslücke, die bereits geschlossen wurde, rührt daher, dass das Portal nicht überprüft, ob eine eingegebene Nummer auch tatsächlich dem Nutzer gehört, der sie eingegeben hat. Nach Eingabe einer Nummer kann sich der User eine Tabellen-Datei herunterladen, in der die gesamte SMS-Korrespondenz des entsprechenden Accounts aufgeführt ist. Cody Collier, der Experte, der die Sicherheitslücke entdeckt hat, erklärte, dass er Verizon allein schon deshalb umgehend über die Schwachstelle informiert habe, weil er selbst Kunde des Unternehmens sei und nicht möchte, dass Dritte Zugriff auf seine Daten haben.

„Ich bin selbst Kunde von Verizon Wireless und habe daher nach dieser Entdeckung umgehend nach einem Weg gesucht, Kontakt zu Verizon aufzunehmen. Ich möchte nicht, dass Informationen meines Accounts auf diese Art offen gelegt werden.“, erklärte Collier per E-Mail.

In seiner Beschreibung dieser Attacke erläutert Collier, dass eine simple Veränderung der Kundentelefonnummer in der URL Cyberkriminellen Zugriff auf den SMS-Verlauf des Zielaccounts bieten kann. So könnte eine URL wie unten dargestellt dahingehend verändert werden, dass jede andere gültige Telefonnummer von Verizon Wireless eingeschlossen wird, was einem Cyberkriminellen die Möglichkeit gibt, eine CSV-Datei mit den ein- und ausgehenden Mitteilungen des Nutzers herunterzuladen. Eine solche URL könnte so aussehen:

https://wbillpay.verizonwireless.com/vzw/accountholder/unbilledusage/UnbilledMessaging.action?d-455677-e=2&1548506v4671=1&mtn=5555555555

Eine Änderung der Ziffern am Ende (die die Telefonnummer repräsentieren) eröffnet Cyberkriminellen den Zugriff auf jeden beliebigen Account seiner Wahl. Diese Sicherheitslücke ist derjenigen sehr ähnlich, die Andrew Auernheimer, auch bekannt als Weev, im Jahr 2010 auf der Website von AT&T aufdeckte und ausnutzte. Dieser Fehler eröffnete den Zugriff auf persönliche Informationen von mehr als 100.000 iPad-Usern. Auernheimer wurde wegen des Diebstahls von persönlichen Daten und anderer Verbrechen verurteilt und hat bereits drei Jahre hinter Gittern verbracht.

Collier erklärte allerdings, er sähe keine Gemeinsamkeiten zwischen dem, was er gefunden und was Auernheimer getan hat, insbesondere deshalb, weil Collier Verizon umgehend von seiner Entdeckung unterrichtet und keine Details über die Sicherheitslücke veröffentlicht hat, bevor diese geschlossen wurde.“

„Ich habe die Schwachstelle aus Verantwortungsgefühl gemeldet, daher verstehe ich nicht, wie man mich mit Weev vergleichen kann, der bösartige Absichten hatte.“, kommentiert Collier.

Quelle:  threatpost

Einfacher Bug ermöglicht Einsicht in SMS-Verlauf von Verizon-Kunden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach