Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

Illustration: Mads Lorenzen
Kun med adgang til et telefonnummer er det muligt at overtage folks mail-konti hos Google og Microsoft.

Sim-swapping: Hackere kan overtage brugerkonti hos Google og Microsoft uden at kende adgangskoden

Både Microsoft og Google tillader sine mange millioner brugere verden over at nulstille deres kodeord kun ved hjælp af en sms eller et opkald til konto-ejerens telefonnummer.

Men hvad nu, hvis uvedkommende pludselig får kontrollen over netop telefonnummeret? Eksempelvis via sim-swapping, som Version2 har demonstreret er ganske muligt i Danmark?

Ja, hvis uvedkommende overtager telefonnummeret, så er det farvel og tak. Mail-kontoen - og hvad den ellers lukker op for - kan snuppes af en angriber på få sekunder. Vel at mærke helt uden, at angriberen behøver kende kodeordet.

Det skyldes, at Google og Microsoft bruger telefonnummeret, som en selvstændig nøgle. Mange brugere opgiver telefon-nummeret til dette, fordi Google og microsoft anbefaler det, blandt andet som en del af indlognings-processen.

Hvis en bruger - eller angriber - hævder at have glemt adgangskoden til Googles eller Microsofts respektive mailtjenester, så er det muligt at få en engangskode sendt via SMS. Engangskoden gør det derefter muligt at lave en ny adgangskode og dermed få adgang til kontoen.

Som en slags bagdør kan alle og enhver med adgang til telefonnummeret altså komme ind i mailen. Og da mange tjenester gør det muligt at nulstille kodeord via en mail, så kan mail-adgangen åbne op for videre adgang til en lang række tjenester, heriblandt sociale medier, lagringstjenester og så videre.

»Det er kun kreativiteten, der sætter grænser for, hvordan man kan udnytte det her,« siger Jacob Herbst, der er medstifter af it-sikkerhedsfirmaet Dubex.

Læs også: Ti minutter: Stjålet SIM-kort kan knække dine koder, åbne din mail og blotte dit privatliv

Ejer lukkes ude

Nulstillings-problemerne er værre hos Google-brugere, idet Version2 kan konstatere, at hvis man ønsker at nulstille adgangskoden igen umiddelbart efter, at eksempelvis en hacker har ændret koden, så er det simpelthen ikke muligt.

I sådan en situation oplyser Google, at man først vil gennemgå sagen, også selvom brugeren kan svare rigtigt på alle 4-5 genkendelsesmetoder. Det tog næsten ti dage for Version2's vedkommende.

Denne praksis vil reelt set forhindre et offer i hurtigt at ændre sin adgangskode tilbage igen efter et angreb - og stik mod hensigten - låse ejeren af kontoen ude, mens angriberen roder rundt i vedkommendes mail.

Adgangskoderne hos Microsofts tjeneste kan man ændre flere gange uden at blive låst ude, men til gengæld åbner et hack af en Microsoft-konto også op for brugerens private Windows-maskiner, office-redskaber og så videre.

Universalnøgle blotter brugere

Når først angriberen har adgang til mailen, hvad end den er hos Microsoft eller Google, falder i de forkerte hænder, ser det virkelig skidt ud for offeret.

Mailen er internettets svar på en universalnøgle til alle de konti, vi som brugere opretter med mailen.

Det skyldes, at man med adgang til mailen kan nulstille kodeord til tjenester, der er koblet op på den pågældende mail. Fra Tinder til Facebook, LinkedIn og så fremdeles - angriberen har fuldkommen frit spil.

Derudover kan der være mange værdifulde mails i indbakken, der ofte husker årtier tilbage. Eksempelvis fandt denne skribent sit eget CPR-nummer og et gammelt pasbillede med få, enkle søgninger i indbakken.

Google og Microsoft totalt tavse

Hverken Google eller Microsoft ønsker at kommentere på deres praksis, hvor et kontrol med et telefonnummer i sig selv kan give adgang til en mailkonto.

Begge selskaber opfordrer som sagt til, at man tilføjer et telefonnummer til mail-kontiene.

Google giver brugeren mulighed for kun at lade nummeret fungere i forbindelse med to-faktor-login, men som udgangspunkt kan det også bruges til gendannelse. Især det udgangs ville Version2 gerne stille spørgsmålstegn ved.

Læs også: Twitter-direktørs telefonnummer kompromitteret og brugt til udsendelse af bombe-tweet

Se den korte demonstration af vejen fra simkort til mailindbakke, der kan åbne op for alvorlige svindel- og privacyproblemer herunder. Eksemplet viser et hack mod Gmail, men præcis det samme problem er gældende for Microsoft-konti:

Video: Mads Lorenzen

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Asger Bjerg

I videoen er "Login og gendannelse" farvet gul, underforstået Google mener ikke at denne indstilling er optimal.
Denne dropdown åbnes ikke i videoen?
Hvordan forholder det sig hvis man bruger googles eller microsofts autentificerings app, så er det vel ikke muligt kun med sim kort swap?

  • 0
  • 0
Michael Cederberg

Det er ikke nogen simpel situation virksomheder som Google og Microsoft står i. For det første skal de lave en løsninger der virker på tværs af landegrænser. For det andet skal de lave en løsning der er brugervenlig. For det tredie må det ikke være en løsning der koster noget videre i drift.

Det er ganske klart at authentikering med username+password er åbent for rigtig mange angrebsmuligheder. Derfor muligheden for brug at telefonen til authentikering - hvis teleselskaberne havde styr på deres forretning ville det være meget mere sikkert.

Men hvad så hvis man ikke kan stole på telefonen? Hvad er en god måde at authentikere brugere der virker på alle devices? Hvis det skal virke ens på alle devices, så udelukker det umiddelbart brug at hardware løsninger fordi de ikke virker alle steder (om end man måske kunne finde en hybrid løsning). Det samme gælder løsninger omkring certifikater som folk ikke kan finde ud af (både installation og sikkerhed) og hvor ikke alle devices har samme muligheder. Skal Google, Microsoft, Apple og Facebook til at bruge pap-kort?

Ovenstående dilemma ligner det som NemID står med. Der er ikke nogen nem løsning.

Under alle omstændigheder er det fuldstændigt vanvittigt at teleselskaberne ikke har mere styr på udlevering af SIM kort og heller ikke har styr på afsender MSID sådan at man kan sende SMS beskeder og lave telefonopkald med spoffede telefonumre. Det er et problem der til gengæld er relativt nemt at løse.

  • 4
  • 0
Markus Hornum-Stenz

Kan man ikke bare fjerne telefonnumre fra sine konti?

Bortset fra at telefonen er rygraden i 2-faktor login, hvis ikke du vil have et nøglekort eller lign?

Der er især to situationer man skal tage højde for i forhold til adgang til sine "hovedkonto" (som ofte bruges til at logge på andre sites):

  1. Hvis du har glemt adgangskoden til din mailkonto, hvordan får man så fat i dig fra Google/MS/Facebook's side, så du kan få en ny?

  2. Hvis der skiftes telefonnummer på kontoen - fordi det vurderes nødvendigt af hensyn til punkt 1 - hvordan sikrer du dig så at det er den reelle ejer af kontoen, som gør det (og ikke bare en hacker som har fået fat i passwordet)

  • 4
  • 0
Torben Jensen

Vi vil gerne bruge Facebook, men vi behøver ikke lade Facebook styre adgang til diverse andre medier, og vi behøver ikke bruge Facebook som dagbog.

Vi vil gerne have smartphone, med Android bør vi have en gmail konto, men vi bestemmer selv lidt hvad den konto kan åbne, og vi behøver ikke bruge gmail til private mails.

Vi ved også at Google, Facebook og Microsoft kigger med i mails.

Løsningen kan være egen privat mail server, eller mail på server hos en nær ven, dermed nemmere at agere hvis de forkerte får adgang.
Men de fleste normale forbrugere foretrækker det der er gratis og nemt.

  • 0
  • 1
Flemming Skovbjerg

Hvis Google , FB, IPhone og andre mulitnationale selskaber via lovgiving på EU nivo blev pålagt at have afdelinger i hvert land og personale der taler det lokale sprog ville meget BØWL kunne undgåes !
De skovler i tusindvis af kr ind på hver bruger , men vil ikke levere ordelig service, er det rimeligt ?
Her I Dk kunne nemID i øvrig ment impementres som sikker ID.

  • 3
  • 0
Lasse Mølgaard

Jeg er for så vidt enig i at bruge ens telefonnummer som 2FA er ikke optimalt, men alternativet kan være mindst lige så slemt.

Jeg har set flere sites som bruger en app til 2FA. Det kunne være Google eller Microsoft Authenticator.

De skriver noget i stil med:

"Hvis du mist adgang til din app og du kan ikke finde din udprintede backup nøgler, så er det bare ærgerligt Sonny boy! Vi kan ikke hjælpe dig!"

Så hvad skulle alternativet til SMS være, hvis ens telefon med 2FA bliver stjålet, eller ens Yubico nøgle går i stykker?

Jeg ved at man kan fortælle Google at "jeg stoler på denne gruppe af venner" og Google kan så bruge denne kanal til at genoprette forbindelsen til ens konto, men jeg tror ikke denne løsning vil være mere sikker end SMS-løsningen.

Og endnu en problematik som jeg fandt irriterende:

Lad os sige du bruge førnævnte Google og Microsoft Authenticator på din telefon som din 2FA løsning. Du køber nu en ny telefon og vil flytte din 2FA over på din nye telefon.

Her har jeg ikke set nogen nem løsning.

Det eneste der virkede var at man først deaktiverede 2FA for hver enkel konto og derefter lavede en ny 2FA-nøgle med den nye telefon.

Kan det ikke gøres mere simpelt?

For mig at se er det ikke andet end et roterende sæt af tal, som er initialiseret af et-eller-andet sæt af data, som bruges som salt.

  • 2
  • 0
Jens Beltofte

Nu kunne man så vælge at betale sig for en anden løsning end Google Authenticator. LastPass' Authenticator app er fuldt kompabibel med Google Authenticator og understøtter backup til LastPass. Dvs. at hvis du skifter telefon og benytter LassPass Authenticator app vil du stadig have adgang til din 2FA konfiguration i app'en.

  • 0
  • 2
Klavs Klavsen

og så have 2 yubikeys - så man har en backup key hvis man mister sin primære.
til HOTP er de 2 keys forskellige (så 2fa på google f.ex. vil skulle have begge keys tilføjet) - men på selve key'en kan man putte samme GPG identitet - så ssh og gpg er det samme - uanset hvilken.

Og da det "bare er usb/nfc" - så kan key'en anvendes på alle enheder.

Jeg skal "bare" kunne min pin-kode til stick'en og så vælger jeg hvor længe jeg vil acceptere at stick'en "holder sig åben" - og personligt slår jeg "touch" til - så man fysisk skal røre nøglen når man skal bruge den (til gpg/ssh operationer).

Det er faktisk ret brugervenligt - når man først "lige har det sat op" og gør main ssh/pgp operationer langt mindre smertelige - da jeg ikke længere anvender kodeord der.

  • 2
  • 0
Niels Dybdahl

Facebook har et system med betroede venner som kan bruges til få adgangen tilbage til sin konto. Hvis Google og Microsoft havde noget lignende, så kunne man undlade muligheden for at få adgang udelukkende med mobilen.
Så vidt jeg kan se, kræver Facebooks løsning kun at en betroet ven siger god for en, men det ville være sikrere hvis kravet var at mindst to venner sagde god for en.

  • 0
  • 0
Lasse Mølgaard

Sikkerheden omkring betroede venner har sine egne fælder.

Hvis kontoen først er kompromitteret, hvordan kan man så afgøre om de eventuelle betroede venner tilhører ikke nogle konti som hackeren (eller dens netværk) kontrollere?

Selv hvis man køre en event historik på kontoen, så skal man vide præcis hvornår kontoen blev komprimeret, før man kan regne ud hvilken data man kan stole på.

  • 1
  • 0
Kim Schulz

Der vælges 3 konti som du har familiær relation til eller på anden måde har en personlig tilknytning til. på den side de ser står der, at de skal ringe til personen for at få nummeret og en masse andet gøjl. Det ville være nærmest umuligt at omgå dette for folk som har mere end 10 venner derinde.

  • 0
  • 0
Kim Schulz

kig på onlykey.io som netop gør det du forespørger. Den kan huske passwords, være yubikey, otp og et hav af andre ting. alt sammen i en yders sikker inpakning af tamper-resistent elektronik og højt niveau af crypto.
Der er pinkode på når du sætter den i din enhed og du kan sætte timeout for hvornår den låser igen. Næste generation kommer med NFC også (men så er pin ikke muligt for den løsning)

  • 0
  • 0
Henrik Biering Blogger

Problemet opstår som nævnt kun når SMS/opkald anvendes som 2-faktor ... så Google og Microsoft m.fl. burde vel blot gøre brugeren pænt opmærksom på at SMS/opkald ikke kan/bør anvendes som 2-faktoren, hvis de har det samme nummer som kontaktoplysning (der benyttes til nulstilling af 1. faktor).

Der er vel snarere grund til at komme efter VISA og Mastercard med deres 3D Secure, hvor man (i hvert fald i NETS implementering) kun tilbydes SMS som 2.faktor mens 1. faktor på 3 cifre er skrevet bag på kortet, mens navnet, som oftest kan lede direkte til telefonnummeret (2-faktoren) står sammen med kortnummeret (brugerID'et) på forsiden af kortet.

  • 1
  • 0
Jens Madsen
  • 1
  • 0
Log ind eller Opret konto for at kommentere