De implementatie van two-factor-authenticatie door Twitter is eenvoudig te omzeilen, meldt een beveiligingsbedrijf. Een kwaadwillende hoeft van een doelwit enkel het telefoonnummer te weten en over de mogelijkheid te beschikken om sms-berichten te spoofen.
De onlangs aangekondigde two-factor-authenticatie van Twitter leunt geheel op sms en dat is ook de achilleshiel van het systeem, blijkt uit onderzoek van F-Secure. Een kwaadwillende moet daarvoor wel het telefoonnummer weten dat de gebruiker heeft ingesteld voor two-factor-authenticatie. Vanaf dat telefoonnummer moet een sms-bericht met het woord 'stop' naar Twitter worden gestuurd, waarna two-factor-authenticatie direct wordt uitgeschakeld.
Om het sms-bericht vanaf het telefoonnummer van de gebruiker te kunnen versturen, moet de kwaadwillende beschikken over de mogelijkheid om gespoofte sms-berichten te versturen. Dat is relatief simpel; er bestaat kant-en-klare software waarmee dat mogelijk is en er zijn websites die sms-spoofing als dienst aanbieden.
Overigens werkt two-factor-authenticatie nog niet voor Nederlandse en Belgische Twitter-gebruikers. Bij two-factor-authenticatie moet bij het inloggen naast het wachtwoord een tweede code worden ingevuld, die door een smartphone-app wordt gegenereerd of via sms wordt verzonden. Twitter ondersteunt als enige grote sociale-netwerksite niet de mogelijkheid om de codes door een app te laten genereren.
/i/1369659193.png?f=imagenormal)
:strip_icc():strip_exif()/u/17649/iiymamas.jpg?f=community)
:strip_icc():strip_exif()/u/66592/crop55f1a0794bbfa.jpeg?f=community)
:strip_exif()/u/8111/bill60.gif?f=community)
:strip_exif()/u/442747/60x60falloutav-vb.gif?f=community)
/u/512556/doranku.png?f=community)
/u/407403/WAhack.png?f=community)
:strip_icc():strip_exif()/u/392468/crop5e9cb675e8fbd_cropped.jpeg?f=community)
:strip_exif()/u/53522/crop583d477015a24.gif?f=community)
/u/150000/tweakers_logo2.png?f=community)
/u/508326/02fe8676b9194155ae0a61dd1cfc9f8c.png?f=community)