„Kennen Sie Ihre Voicemail-PIN?“ – bei der Frage gingen im Publikum nicht viele Hände hoch. Die Frage stellte der Produktsicherheitsforscher Martin Vigo in seinem 35C3-Vortrag „Compromising online accounts by cracking voicemail systems“, der sich mit der Sicherheit von Voicemail-Systemen auseinandersetzt.
Historische Parallelen
Zu Beginn seiner Vortrags stellte Vigo einige Schwachstellen vor, die Anrufbeantworter in den 80er und 90er Jahren hatten. Diese konnte man von außerhalb, z.B. aus dem Urlaub, anrufen und durch die Eingabe einer PIN die aufgenommenen Nachrichten abhören. Die PINs waren jedoch häufig zu kurz (teilweise nur zweistellig) und die Anrufbeantworter besaßen keinen Schutz vor Brute-Force-Attacken. Das heißt, dass beliebig viele Kombinationen ausprobiert werden konnten, ohne dass der Anrufbeantworter die Verbindung trennt. Bei einer zweistelligen PIN ließ sich dann recht schnell die richtige Kombination finden. Ferner zitierte Vigo Forschungen zur Häufigkeitsverteilung von selbstgewählten PINs. Bei vierstelligen PINs z.B. sind PINs, die mit einer 19 starten, besonders häufig, da viele Anwender eine vierstellige Jahreszahl als PIN wählen. Bei einem Vergleich mit heutigen Voicemail-Systemen von Mobilfunkanbiertern fand er im Grunde genommen dieselben Schwachstellen.
Kapern einer Voicemail
Wie aber gelangt man nun an die Voicemail eines beliebigen Mobilfunkteilnehmers? Durch die direkte Anwahl der Voicemail. Für den Fall, dass z.B. das Smartphone abhanden gekommen oder Akku leer ist, ist die Voicemail über die eigene Mobilfunknummer, versehen mit einer zusätzlichen Vorwahl, von außen erreichbar, um abgehört zu werden. Hierfür ist dann wie bei Anrufbeantwortern auch die Eingabe einer PIN nötig, die bei manchen Anbietern in Deutschland den letzten vier Ziffern der SIM-Kartennummer (nicht der Mobilnummer) entspricht oder zunächst auf einen Standardwert eingestellt ist. Die Eingabe der PIN geschieht durch die auch von Festnetztelefonen bekannten Tastentöne. Hierfür demonstrierte Vigo ein von ihm geschriebenes Programm, das per Brute-Force und unter Berücksichtigung der Erkenntnisse zu häufig verwendeten PINs, die korrekte PIN ermittelt.
Von der Voicemail zum Onlinekonto
Schließlich zeigte Vigo, wie eine gekaperte Voicemailbox für die Übernahme von Onlinekonten verwendet werden kann. Dienste wie Google Mail, Whatsapp oder Paypal erlauben den Versand eines Codes zum Zurücksetzen des Passworts per Telefonanruf. Gesetzt den Fall, dass der Besitzer des Kontos gerade nicht per Mobilnummer erreichbar ist, werden diese Codes an die Voicemail verschickt, die ein Angreifer abhören kann. Der auf diese Weise erschlichene Code kann dann zum Zurücksetzen des Passworts eingesetzt werden, womit einer Anmeldung mit dem Konto des Opfers nichts mehr im Wege steht. Vigo zeigte diverse Gegenmaßnahmen der Anbieter auf, die jedoch allesamt von seinem Programm umgangen werden konnten.
Empfehlungen
Vigo schloß mit den Empfehlungen ab, eine Mobilfunknummer nicht als zweiten Faktor für das Zurücksetzen von Passwörter zu hinterlegen, sowie die Voicemailfunktion, falls sie nicht dringend benötigt wird, zu deaktivieren oder andernfalls eine sichere PIN zu setzen.