Twitter's Twee-staps-authentificatie blijkt eenvoudig te omzeilen

De twee-staps-authentificatie van Twitter blijkt toch niet zo veilig te zijn. Een hacker kan de beveiliging vrij eenvoudig omzeilen. Hiervoor hoeft de aanvaller alleen het telefoonnummer van het doelwit te achterhalen en het SMS-verkeer te spoofen.
Twitter
De kwetsbaarheid in de beveiligingstechniek is ontdekt door F-Secure. Twitter biedt gebruikers de mogelijkheid de twee-staps-authentificatie met een SMS-bericht stop te zetten. Gebruikers versturen simpelweg het woord 'stop' naar Twitter, waarna de beveiliging wordt uitgeschakeld. Aanvallers kunnen deze feature misbruiken.
Gespooft SMS-bericht verzenden
F-Secure meldt dat aanvallers hiervoor alleen het telefoonnummer hoeven te achterhalen dat een gebruiker aan zijn Twitter-account heeft gekoppeld. De aanvaller kan vervolgens een gespooft SMS-bericht naar Twitter-versturen met het telefoonnummer van de gebruiker als afzender. Plaatst de aanvaller het woord 'stop' in dit SMS-bericht? Dan wordt de twee-staps-authentificatie op het Twitter-account van het doelwit uitgeschakeld.
Het versturen van gespoofte SMS-berichten is overigens niet ingewikkeld. Gebruikers kunnen hiervoor op internet allerlei tooltjes vinden of gebruik maken van online diensten die deze mogelijkheid bieden. Aanvallers kunnen dan ook op eenvoudige wijze de twee-staps-authentificatie omzeilen.