Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 33, views: 20.734 •

De implementatie van two-factor-authenticatie door Twitter is eenvoudig te omzeilen, meldt een beveiligingsbedrijf. Een kwaadwillende hoeft van een doelwit enkel het telefoonnummer te weten en over de mogelijkheid te beschikken om sms-berichten te spoofen.

De onlangs aangekondigde two-factor-authenticatie van Twitter leunt geheel op sms en dat is ook de achilleshiel van het systeem, blijkt uit onderzoek van F-Secure. Een kwaadwillende moet daarvoor wel het telefoonnummer weten dat de gebruiker heeft ingesteld voor two-factor-authenticatie. Vanaf dat telefoonnummer moet een sms-bericht met het woord 'stop' naar Twitter worden gestuurd, waarna two-factor-authenticatie direct wordt uitgeschakeld.

Om het sms-bericht vanaf het telefoonnummer van de gebruiker te kunnen versturen, moet de kwaadwillende beschikken over de mogelijkheid om gespoofte sms-berichten te versturen. Dat is relatief simpel; er bestaat kant-en-klare software waarmee dat mogelijk is en er zijn websites die sms-spoofing als dienst aanbieden.

Overigens werkt two-factor-authenticatie nog niet voor Nederlandse en Belgische Twitter-gebruikers. Bij two-factor-authenticatie moet bij het inloggen naast het wachtwoord een tweede code worden ingevuld, die door een smartphone-app wordt gegenereerd of via sms wordt verzonden. Twitter ondersteunt als enige grote sociale-netwerksite niet de mogelijkheid om de codes door een app te laten genereren.

Twitter 2FA

Reacties (33)

Je zou zeggen dat ze over de procedure hebben nagedacht. Dit is wel belachelijk simpel de neppen en daarmee geeft de hele Two-factor-authenticatie als geheel dus vrij zeer beperkt extra veiligheid.

Ze hadden imho beter de Google Authenticator kunnen pakken ipv weer een eigen systeem te verzinnen.
Ik denk niet dat Twitter dit zelf bedacht heeft. Er zijn 1001 apps / bedrijven die authenticeren via een SMS bericht. Bovendien; dat het zo simpel werkt maakt het wel een stuk gebruiksvriendelijker dan Google Autnenticator, waar je volgens mij weer een aparte app voor nodig hebt.

Het probleem zit hem in het feit dat je een SMS kunt sturen naar twitter, waarmee je die authenticatie uit zet. Dat is in mijn ogen niet zo'n heel intelligent idee....
Al zouden ze het alleen maar omdraaien (klik op knopje om uit te schakelen, vul je gebruikersnaam in, ontvang een SMS met een code waarmee je de authenticatie uit kunt schakelen), eventueel met een extra bevestiging via email, dan zou het al veiliger zijn.

[Reactie gewijzigd door Bjornski op 27 mei 2013 15:31]

Het probleem zit hem in het feit dat je een SMS kunt sturen naar twitter, waarmee je die authenticatie uit zet. Dat is in mijn ogen niet zo'n heel intelligent idee....
Ik zou zeggen dat het probleem zit in het feit dat het nog steeds mogelijk is om bij SMS telefoonnummers te spoofen.
Dat spoofen verhinderen is niet triviaal, en ligt buiten Twitter.

Zolang dat spoofen mogelijk is, moet je dus je procedures zo inrichten dat je dit ondervangt. En zoals Bjornski al aangeeft is dat kinderachtig simpel te doen door het stoppen van de 2-factor authenticatie op een vergelijkbare manier op te zetten als de authenticatie zelf.
Vind dit dan weer een brilliant ideee van Bjornski, ik zou zeggen stuur eens een mailtje naar de HQ van Twitters of werk het zelf uit en verkoop het! _/-\o_
Ze hadden niet per se voor Google Authenticator hoeven gaan. Daarnaast was het geen probleem geweest als ze een systeem hadden gemaakt wat niet gemakkelijk te omzeilen is.

Het rare hieraan vind ik dat ze niet naar anderen hebben gekeken of zelfs maar even hebben nagedacht over de mogelijkheid van spoofing. Deze SMS-verificatie had prima kunnen werken i.c.m. een bevestigingsmail of iets dergelijks: een simpele manier om er voor te zorgen dat de two-factor authenticatie uit (en aan?) kan worden gezet zonder je rot te zoeken, maar toch de extra stap om er 'zeker' van te zijn dat jij het bent.

edit: Google leek ook niet alles op een rijtje te hebben een tijdje terug, al was het daar niet zo makkelijk te omzeilen.

[Reactie gewijzigd door Uchiha1911 op 27 mei 2013 15:39]

Ze hadden niet per se voor Google Authenticator hoeven gaan.
Google authenticator is gewoon een implementatie van https://tools.ietf.org/html/rfc4226 en https://tools.ietf.org/html/rfc6238

Als ze de nog oudere OTP manieren hadden geimplementeerd (http://www.ietf.org/rfc/rfc2289) zou ik met GA overal kunnen inloggen zonder daadwerkelijk mijn wachtwoord te typen, maar de keren dat ik zonder een trsuted device met ssh keys ben is tegenwoordig vrijwel 0. Als je rekening houdt met bruteforces (en een DOS voorlief neemt) dan durf ik TOTP wel te gebruiken als enig authenticatie mechanisme

Iets anders kiezen door zelf het wiel uit te vinden is vragen voor problemen. Als het nu nog niet tot je is door gedrongen dat het heel simpel is om callerids te faken, dan is je poging tot falen gedoemt. Het was al veel veiliger geweest indien je een code moest inkloppen die twitter je stuurt om te bewijzen dat je controle hebt over het daadwerkelijke nummer. Maar ja dat kost twitter geld.
Ze hadden imho beter de Google Authenticator kunnen pakken ipv weer een eigen systeem te verzinnen
Quote for truth. Ik gebruik hem ook, heb inmiddels als meerdere non-Google services erin staan. Even je private key via een QR scannen, en klaar, ideaal!
Dit vind ik wel een erg kwalijke zaak. Dat SMS te spoofen is weet vrijwel iedereen lijkt me.
Ik zou hier toch een extra stap aan toevoegen dat er bv een specifieke code gesmst moet worden, of dat er een extra stap via bijvoorbeeld mail vereist is.
Dit vind ik wel een erg kwalijke zaak. Dat SMS te spoofen is weet vrijwel iedereen lijkt me.
Ik zou hier toch een extra stap aan toevoegen dat er bv een specifieke code gesmst moet worden, of dat er een extra stap via bijvoorbeeld mail vereist is.
Dit kan zelfs via een willekeurige VOIP dienst, want je hoeft dus klaarblijkelijk alleen 'STOP' vanaf nummer 'X' te versturen, en het vervolgens niet verder geverifieerd word. Facebook en Google doen het bijvoorbeeld met een code naar de telefoon toe, en niet andersom.
Ik denk, en het is een trieste gedachte als het waar zou zijn, dat Twitter dat dus niet doet om flink geld te besparen... Immers kost een SMS versturen centjes; het ontvangen is vrijwel altijd gratis. (Behalve bij sommige rare USA carriers waar je moet dokken als je een sms uit het buitenland krijgt, herp derp)
Dit vind ik wel een erg kwalijke zaak. Dat SMS te spoofen is weet vrijwel iedereen lijkt me.
Ik denk dat je iets te optimistisch bent over de tech-kennis van de doorsnee BeNeLuxer.
Ik denk dat van heel mijn familie - van 15jarigen tot gepensioneerden - ik de enige ben die dat zou weten. En ook alleen maar omdat ik een jaar of 10 geleden op zoek was naar (gratis) SMS'en via computer/internet.
Klopt maar de doorsnee hacker/cracker zal dit wel weten. Maar de titel is wat misleidend, je hebt namelijk het paswoord & telefoon nummer nodig om in binnen te raken; Wat twee entiteiten zijn;
De titel is niet misleidend. De two-factor authenticatie is te omzeilen doordat deze gemakkelijk uit te schakelen is. Je verwart de two-factor authenticatie an sich met het aan- en uitzetten van de service.
Het is niet alleen makkelijk uit te zetten, maar vervolgens kan je een ander nummer toevoegen, en volgens:
Bij two-factor-authenticatie moet bij het inloggen naast het wachtwoord een tweede code worden ingevuld, die door een smartphone-app wordt gegenereerd of via sms wordt verzonden. Twitter ondersteunt als enige grote sociale-netwerksite niet de mogelijkheid om de codes door een app te laten genereren.
kan je dus naar dat nieuwe nummer een sms met de 2e factor code krijgen.
Ik ben inderdaad vrij optimistisch over de gemiddelde kennis, vooral als het schade tot gevolg kan hebben. Ik ben niet zo van het onderschatten ;-)

Verder heb je wel gelijk. Tegelijkertijd is de keerzijde dat de mensen die een twitter account over willen nemen ook meestal niet iemand uit je familie die totaal niets weten van ICT.
Er hoeft er ook maar 1 te zijn. En van die duizenden eenlingen op de wereld is er vast ook wel eentje die een how-to op youtube weet te plempen.

Maar zelfs al gebeurt dat niet... oh wacht. Google, 3e hit.

http://lifehacker.com/5853056/how-to-spoof-caller-id
Wat maakt het ons uit? Je kan als Nederlander toch geen gebruik maken van de beveiliging.
Het is dan misschien niet super intelligent en makkelijk te omzeilen... Maar we hebben het hier nu niet bepaald over je bankrekening ofzo. Het is toch helemaal niet interessant om iemand zijn twitter te hacken (tenzij je iemand niet mag ofzo). Maar het ergste wat kan gebeuren is dat iemand je account delete of iets lomps twittert, zogenaamd als jou.

Ik zal er niet direct van wakker liggen
Dus als jij twee weken op vakantie bent en iemand deze twee weken allerlei vrienden en kennissen tegen je in het harnas jaagt en discriminerende opmerkingen post die potentile werkgevers nog jaren in de google cache vinden lig jij daar niet wakker van?

Beetje kort door de bocht.

Of wat dacht je er van als er een account wordt gehijacked die namens een groot bedrijf of bekende persoonlijkheid kan posten?
Ze moeten nog steeds mijn account hacken (en mijn mobiele nummer achterhalen).
Begrijp me goed. Ik vind het een goede zaak dat ze de boel wat extra willen beveiligen bij twitter en het is absoluut jammer dat relatief makkelijk te omzeilen is. Maar de gemiddelde twitteraccount (of bijvoorbeeld mijn twitteraccount) is helemaal niet interessant voor de gemiddelde hacker om te hacken.

Daarnaast, ook als ik op vakantie ben, zie ik het binnen n dag als iemand mijn twitter heeft gehackt.
Ze moeten nog steeds mijn account hacken (en mijn mobiele nummer achterhalen).
Ik ga er vanuit dat de SMS pas komt n het ingeven van het wachtwoord. Schijnbaar weten ze dan jouw wachtwoord al.
Maar de gemiddelde twitteraccount (of bijvoorbeeld mijn twitteraccount) is helemaal niet interessant voor de gemiddelde hacker om te hacken.
Jouw account wellicht niet, lan kan men dan natuurlijk wel onzin gaan posten die je niet gepost hebt. Er zijn echter ook (voor de rest van de wereld) interessantere mensen op Twitter te vinden dan jij alleen. ;)
Daarnaast, ook als ik op vakantie ben, zie ik het binnen n dag als iemand mijn twitter heeft gehackt.
Tja, check je dan ook constant je Twitter? Als je daarvoor op vakantie gaat... ;)

offtopic:
Ik blijf me elke keer weer verbazen dat er altijd zoveel 'tweakers' hier zijn die zo simpel hierover (en beveiliging in het algemeen) denken en als Anonymous weer het een en ander uithaalt wel haantje de voorste willen zijn want het geweten (of het populaire meepraten) levert punten op... :N

[Reactie gewijzigd door CptChaos op 27 mei 2013 17:48]

Ik spendeer veel tijd met gsm/pc maar als ik overmorgen vertrek voor een dagje of 5 op tripje garandeer ik je dat ik van HELEMAAL niets afweet als ik thuiskom.
Daarom ga ik ook op vakantie, om even alles te vergeten, geen contact met het thuisfront tenzij echt nodig en vooral even nul noppes van de rest van de wereld te weten.
De two-factor-authentication wordt niet echt omzeilt i.m.o. Hij wordt uitgeschakeld maar het is niet dat ze zomaar toegang krijgen tot je account, wat mij de indruk gaf gezien de titel....
De two-factor-authentication wordt niet echt omzeilt i.m.o.
Voor de gek houden is niet omzeilen wil je zeggen? Je denkt echt veel te makkelijk nu. ;) Wat er feitelijk gebeurd is dat je je dan kan voordoen als iemand die je niet daadwerkelijk bent. Soort identiteitsdiefstal dus. Maar als jou dat verder koud laat...
Hij wordt uitgeschakeld maar het is niet dat ze zomaar toegang krijgen tot je account, wat mij de indruk gaf gezien de titel....
Door het omzeilen kan je two-factor er uit halen, aannemend dat deze SMS als tweede stap komt, dan weet je dus het wachtwoord al. Vervolgens kan je dus gewoon instellen en de two-factor authentication eventueel op een ander nummer overzetten... Dat doe je dan pas uiteraard n het uithalen van rottigheid.
De oplossing is vrij simpel voor dit issue: Twitter stuurt een sms-je terug met de vraag of je het echt wilt.

Zelfs alleen een berichtje sturen dat het is uitgezet geeft de gebruiker dan al de indicatie dat er mee gerommeld wordt.
Het kan nog makkelijker en veiliger, in plaats van een code vanuit je mobiel versturen:
-inloggen op twitter, fysieke telefoon veriest, wachtwoord vereist
-ergens klikken op two-step uitzetten
-bevestiging via e-mail vragen, toegang tot gekoppelde e-mail vereist.
Ik vind het bezopen. Ik zit niet om dat soort authenticatie te wachten. Ik wil mijn telefoonnummer niet opgeven. Onder die voorwaarden heb ik mijn hele account niet geregistreerd onder gmail en twitter.
Je snapt het concept niet geloof ik ... de reden dat je je telefoonnummer geeft is omdat je daarmee een extra laag van beveiliging hebt. Niet alleen moet je je gebruikersnaam en wachtwoord ingeven, maar daarnaast moet je ook nog een bewijzen dat je bent wie je zegt dat je bent met behulp van een apparaat dat je waarschijnlijk altijd bij je hebt.

Een potentiele hacker moet dus je gebruikersnaam, je wachtwoord EN je telefoon hebben. Dat is een stuk complexer dan alleen je gebruikers en je wachtwoord.

Dat de implementatie van Twitter rammelt doordat je met spoofsms-jes dit weer direct kunt uitzetten is natuurlijk bizar.

Daarnaast is er natuurlijk wel de mogelijkheid dat Twitter jouw telefoonnummer gaat gebruiker voor allerhande marketingdoeleinden. Maar dan moet je helemaal NIET naar twitter gaan als je bang bent voor je privacy...
Ik snap het concept prima. En je geeft in de laatste alinea het correcte antwoord.
Sluit me helemaal aan bij Atlantis.
Als ik mijn nummer opgeef is dat hooguit aan een webshop of dergelijke, nooit ofte nimmer aan socialrommeldingen.
Tijdens het registreren al een nummer vragen => heel jammer maar ga je NOOIT krijgen, dan gebruik ik je service maar niet
Tijdens mijn gebruik opeens dingen veranderen waardoor je wel mijn nummer moet hebben, heel jammer, dan stap ik wel over op iets wat niet zo privacy-gevoelige-informatie-gierig is.

Zelfde met alle rotzooi op android, elke app moet tegenwoordig wel weten wat jouw info is/wat je contacten zijn/locatie en dergelijke, toestelletje rooten en per app blokkeren die rotzooi als ik echt geen degelijk alternatief vind.

Feit is, wie het echt wil kan waarschijnlijk in korte tijd toch reeds alles over me te weten komen, net omdat er dan bij die sites die je dan wel vertrouwd OOK wel eens wat misgaat. Zo probeer ik al 3 jaar om mijn vast nummer uit het lokale boekje van de gemeente te halen, ze willen echt niet mee volgens mij.
De apps op je android sturen velen malen nuttigere informatie door dan je telefoonnummer, bovendien weten ze je telefoonnummer+e-mail+naam al van Android, dus waar maak je je nog zorgen om?

Een telefoonnummer is niks meer dan een nummer, je hebt er niks aan en ik kan morgen mn telefoonnummer verandere mocht ik dat willen. Een telefoonnummer wordt pas interessant als ze andere informatie kunnen verzamelen en via je telefoonnummer kunnen koppelen aan je naam, bijvoorbeeld via Android. Maar twitter two-step heeft niks met android apps te maken dus nogmaals het is slechts een nummer.

[Reactie gewijzigd door martijnpatelski op 27 mei 2013 22:42]

Goh, dat ze niet geleerd hebben van mijn hack bij WhatsApp... Exact dezelfde methode om het te kraken... Sterker nog: nog slechter, bij WhatsApp moest je de code eerst nog uit je outbox extracten, hier is t een standaard woord...

Slecht, heeeeel slecht.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013