SMS-Links gefährden Nutzerdaten: Großangelegte Untersuchung deckt Schwachstellen auf

Bequemlichkeit vor Sicherheit: Wie SMS-Zugangslinks zur Datenfalle werden

Eine umfangreiche Untersuchung zeigt erhebliche Sicherheits- und Datenschutzprobleme bei der gängigen Praxis, Zugangscodes und Login-Links per SMS zu versenden. Forscher analysierten mehr als 322.000 URLs aus über 33 Millionen Textnachrichten und identifizierten dabei systematische Schwachstellen bei zahlreichen Online-Diensten.

Das Problem mit SMS-basierten Zugängen

Viele Unternehmen setzen auf SMS als Kommunikationskanal, um ihren Kunden schnellen und unkomplizierten Zugang zu Online-Diensten zu ermöglichen. Die Methode ist populär: Allein in den USA wurden 2024 rund 2,2 Billionen SMS- und MMS-Nachrichten im sogenannten Application-to-Person-Verkehr (A2P) ausgetauscht. Diese Dienste werden hauptsächlich für Nutzerverifizierung, Statusupdates und kontobezogene Mitteilungen eingesetzt.

Die Technologie basiert jedoch auf einer problematischen Annahme: dass SMS-Nachrichten sicher und vertraulich beim vorgesehenen Empfänger ankommen. Die Realität sieht anders aus. SMS-Nachrichten sind standardmäßig unverschlüsselt und anfällig für verschiedene Angriffsvektoren. Datenlecks entstehen durch Telefonnummern-Recycling, SIM-Swapping und Sicherheitsverletzungen bei Mobilfunkanbietern.

Methodik der Untersuchung

Die Forscher nutzten öffentliche SMS-Gateways als Datenquelle und entwickelten eine mehrstufige Analysepipeline. Diese umfasste die Datenerfassung, Vorverarbeitung, Erkennung personenbezogener Informationen sowie eine detaillierte Auswertung der Befunde.

Für jede gefundene URL erfassten die Wissenschaftler das Verhalten im Browser: die Benutzeroberfläche, Netzwerkprotokolle und den finalen HTML-Code. Mithilfe von Large Language Models (LLMs) und anschließender Expertenvalidierung identifizierten sie Lecks personenbezogener Daten in einem hierarchischen Verfahren.

Zentrale Ergebnisse

Die Analyse brachte 701 problematische Endpunkte bei 177 verschiedenen Diensten zutage. Die Schwachstellen lassen sich in mehrere Kategorien einteilen:

Massenaufzählung von Nutzerdaten: 125 Dienste wiesen Tokens mit geringer Entropie auf, die systematisches Durchprobieren ermöglichen. Gelangt ein Angreifer an eine einzige URL, kann er durch geschicktes Variieren der Parameter auf Daten weiterer Nutzer zugreifen. Die ursprüngliche Kompromittierung weitet sich damit auf unbeteiligte Personen aus.

Schwache Authentifizierung: Vier Dienste setzten auf leicht zu erratende Schutzmechanismen wie Einmalpasswörter oder Geburtsdaten beim Zugriff auf sensible Informationen wie Krankenakten.

Privilegierte Operationen: 15 Dienste erlaubten Angreifern, Datensätze zu modifizieren. Sechs Dienste ermöglichten sogar vollständige Kontoübernahmen, bei denen fundamentale Kontodaten wie Namen, E-Mail-Adressen und Passwörter geändert werden konnten.

Übermäßiger Datenabruf: 76 Dienste lieferten über APIs, WebSocket-Verbindungen oder beim Laden der Webseite mehr Informationen aus, als für die Darstellung erforderlich waren. Drei Dienste missbrauchten GraphQL-Technologie, die eigentlich präzise Datenabfragen ermöglichen soll.

Verborgene Datenlecks: Acht Dienste übertrugen zusätzliche Nutzerinformationen, die in der Benutzeroberfläche nicht sichtbar waren.

Die gefundenen personenbezogenen Daten umfassten Sozialversicherungsnummern, Geburtsdaten, Bankverbindungen und Bonitätsinformationen. Insgesamt konnten die Forscher 206 eindeutige Nutzerprofile erstellen, die für gezielte Angriffe wie Spear-Phishing missbraucht werden könnten.

Schwaches Sicherheitsmodell als Ursache

Die manuelle Ursachenanalyse offenbarte ein grundlegendes Authentifizierungsproblem: Viele Dienste verlassen sich ausschließlich auf tokenisierte Bearer-Links als Autorisierungsnachweis. Wer die URL kennt, erhält automatisch Zugriff auf die damit verbundenen Daten. Eine zusätzliche Nutzerverifizierung findet häufig nicht statt.

Dieses Modell funktioniert nur unter der Voraussetzung, dass URLs tatsächlich geheim bleiben. Die Untersuchung zeigt jedoch, dass diese Annahme in der Praxis nicht haltbar ist.

Bedrohungsszenarien

Die Studie unterscheidet zwei Angreiferprofile:

Clientseitige Beobachter benötigen lediglich grundlegende Web-Scraping-Kenntnisse, um statische Informationen aus URLs zu extrahieren. Sie können verschiedene Datenattribute kombinieren und für Social-Engineering-Angriffe oder Identitätsdiebstahl nutzen.

Aktive Web-Angreifer verfügen über fortgeschrittenes Wissen zu Webtechnologien und Sicherheitslücken. Sie nutzen gängige Hacking-Werkzeuge für Brute-Force-Attacken und können durch systematisches Durchprobieren schwacher Tokens ganze Nutzerdatenbanken kompromittieren.

Beide Angreifertypen können mit handelsüblicher Hardware und ohne Spezialausrüstung operieren. Die Einstiegshürde für solche Angriffe ist demnach niedrig.

Reaktionen der Dienstanbieter

Die Forscher informierten die betroffenen Unternehmen nach dem Responsible-Disclosure-Prinzip über ihre Funde. Dieser Prozess gestaltete sich schwierig: Viele Anbieter reagierten skeptisch und stuften die Meldungen zunächst als mögliche Betrugsversuche ein.

Zudem fehlten bei den meisten Unternehmen formalisierte Prozesse oder öffentliche Kanäle zur Meldung von Sicherheitsproblemen. Diese strukturelle Lücke erschwert die verantwortungsvolle Kommunikation von Schwachstellen erheblich.

Letztlich reagierten 18 Dienste positiv und beheben die gemeldeten Probleme. Dadurch verbesserte sich der Datenschutz für mindestens 120 Millionen Nutzer.

Frühere Forschung und neue Erkenntnisse

Bisherige Untersuchungen betrachteten SMS-Sicherheit primär unter anderen Gesichtspunkten. Nahapetyan et al. analysierten SMS-Phishing-Kampagnen, Bitsikis et al. demonstrierten Ortungsangriffe über Zustellzeiten, und Reaves et al. untersuchten Klartextübertragung sensibler Daten.

Diese Arbeiten konzentrierten sich auf Nachrichteninhalte oder Zustellmetadaten. Die systematischen Risiken durch private URLs in SMS-Nachrichten sowie die kaskadierende Gefährdung unbeteiligter Nutzer wurden bisher nicht umfassend erforscht.

Implikationen für die Praxis

Die Ergebnisse zeigen, dass SMS-basierte Zugangsmechanismen erhebliche Sicherheitsrisiken bergen, wenn sie nicht sorgfältig implementiert werden. Dienstanbieter sollten mehrere Maßnahmen erwägen:

• Zusätzliche Authentifizierungsschritte nach URL-Zugriff
• Verwendung von Tokens mit hoher Entropie
• Zeitliche Begrenzung der URL-Gültigkeit
• Minimierung übertragener Daten nach dem Prinzip der Datenminimierung
• Etablierung klarer Meldekanäle für Sicherheitsprobleme

Die Studie verdeutlicht den Zielkonflikt zwischen nutzerfreundlichen Zugangswegen und robusten Sicherheitsmaßnahmen. Eine ausgewogene Lösung erfordert sorgfältige Implementierung und kontinuierliche Überprüfung der Sicherheitsarchitektur.

Fazit

Die Untersuchung dokumentiert systematische Sicherheits- und Datenschutzprobleme bei SMS-basierten Zugangssystemen. Die Kombination aus unsicherer SMS-Technologie und schwachen Authentifizierungsmechanismen schafft Angriffsflächen, die mit begrenztem Aufwand ausgenutzt werden können.

Die identifizierten 177 betroffenen Dienste repräsentieren wahrscheinlich nur einen Ausschnitt des tatsächlichen Problems. Die niedrige Einstiegshürde für Angriffe und die weite Verbreitung SMS-basierter Systeme deuten auf ein strukturelles Risiko hin, das über die untersuchten Fälle hinausgeht.

Für Nutzer bleibt ein Restrisiko bestehen, solange Dienste auf SMS-Links als primären Zugangsmechanismus setzen. Die teilweise erfolgreichen Disclosure-Bemühungen zeigen jedoch, dass Verbesserungen möglich sind, wenn Sicherheitsprobleme erkannt und ernst genommen werden.

Quelle: Muhammad Danish, Enrique Sobrados, Priya Kaushik, Bhupendra Acharya, Muhammad Saad, Abdullah Mueen, Sazzadur Rahaman, Afsah Anwar: „Private Links, öffentliche Lecks: Auswirkungen einer reibungslosen Benutzererfahrung auf die Sicherheit und den Datenschutz von per SMS übermittelten URLs“, arXiv

Weiterlesen

---