Yallo verschickt an bestehende Kund:innen regelmässig E-Mails und SMS, in denen neue Angebote beworben werden. Schnell auf den Link darin geklickt und man findet sich bereits eingeloggt auf der Yallo-Website wieder. Das ist natürlich praktisch, denn nun kann man das beworbene Angebot mit wenigen Klicks abschliessen. Das Problem dabei: Bei diesem Link handelt es sich nicht um einen Link, der nur den Empfänger oder die Empfängerin der Werbe-Nachricht einloggt. Leitet nun beispielsweise Person A die Mail oder SMS einer Kollegin weiter, gelangt diese über den Link direkt in das persönliche Yallo-Konto von Person A. In diesem lassen sich nicht nur persönliche Daten und Abos einsehen, sondern auch neue Verträge abschliessen und diverse Einstellungen verändern.
Daten von Ausweisdokumenten einsehbar
Ein Supergau ist diese Sicherheitslücke nicht. Marc Ruef von der Zürcher Online-Sicherheistfirma Scip erklärt auf Anfrage von vybe, dass solch ein Vorgehen nicht ungewöhnlich sei. Klickbare Links enthielten dabei einen Authentisierung-Token. Durch den Klick auf den Link erhalte man dann Zugriff auf sein personalisiertes Konto. Das sei etwa bei Newslettern häufig der Fall, wenn man auf «Abbestellen» klicke. Auf der Skala des CVSS, einem Industriestandard zur Bewertung von Sicherheitslücken in Computersystemen erreiche die Lücke von Yallo eine Wertung von 6,3 von möglichen 10 Punkten, sagt Ruef. Damit ist die Sicherheitslücke als Mittel einzustufen, als hoch würde sie erst ab 7,0 gelten. Unterschätzen sollte man sie deswegen aber nicht, führt Ruef weiter aus:
«Gefährlich ist das dann, wenn ein Vollzugriff möglich ist. Angreifer, die eine E-mail abfangen oder anderweitig erhalten, können durch den Missbrauch des Links das gesamte Konto übernehmen.»
Im Fall von Yallo bedeutet das konkret, dass man Zugriff auf diverse sensitive Daten hat. Unter anderem lassen sich nebst den aktiven Abos auch sämtliche Kontaktdaten wie Telefonnummer, Adresse und E-Mail einsehen und teilweise ändern. Noch bedenklicher ist, dass sich im Online-Konto von Yallo auch sensitive Informationen wie der PIN und PUK der aktuellen SIM-Karte als auch Nummer und Ablaufdatum der hinterlegten Ausweisdokumente einsehen lassen. Ein Ausweisdokument ist bei allen Usern hinterlegt, weil man sich bei Abschluss des Abonnements damit verifizieren musste. Diese Ausweisdaten könnten im schlimmsten Fall ausreichen, um Identitätsdiebstahl zu begehen. Ebenfalls lassen sich diverse kostenpflichtige Zusatzoptionen wie Roaming-Pakete oder 5G-Speed aktivieren oder Kostenschutzoptionen deaktivieren.
Sunrise appelliert an die Eigenverantwortung
Wir haben Yallo-Inhaberin Sunrise bereits am 29. November, also rund eine Woche vor Publikation dieses Beitrags, auf die Schwachstelle hingewiesen, um dem Mobilfunkanbieter die Möglichkeit zu geben, diese umgehend zu beheben. Folgendes Statement hat uns Sunrise daraufhin zukommen lassen:
«Wir schicken ausgewählten yallo Kundinnen und Kunden vereinzelt persönliche Angebote, die sie über einen Link innerhalb ihres persönlichen Kontos einsehen können. In der Nachricht weisen wir die Kundinnen und Kunden darauf hin, dass die Nachricht mit dem Link nicht weitergeleitet werden soll, weil damit der Zugriff auf my yallo möglich ist.»
Tatsächlich ist in jedem Werbe-Mail folgende Nachricht zu finden:
«Bitte nicht teilen. Diese E-Mail enthält dein persönliches Login zu my yallo.»
Das ist eigentlich löblich, aber: Der Hinweis befindet sich nicht etwa am Anfang der Mail-Nachricht, sondern ganz am Schluss, noch nach den Buttons für Social Media, Adressdaten und Copyright-Hinweis. Damit geht Sunrise das Risiko ein, dass dieser wichtige Hinweis übersehen wird.
Dass diese Vermutung nicht unbegründet ist, zeigt eine kurze Umfrage im Umfeld unserer Redaktion: Alle der sieben befragen Personen mit einem Yallo-Abo hatten schon öfter Werbe-Mails erhalten – aber keine von ihnen war sich bewusst, dass die Links darin auch fremden Personen Zugriff auf das persönliche Konto ermöglichen würden.
Auch in den SMS-Nachrichten ist dieser Hinweis zu finden – allerdings erst seit August 2021. Uns liegen mehrere Screenshots von Yallo-Werbe-SMS mit jeweils älterem Datum vor, wo dieser Hinweis gänzlich fehlt.
Doch selbst mit dem Hinweis sind solche Links via SMS fragwürdig, denn die Kurznachrichten sind in der Regel nicht End-zu-End-Verschlüsselt und lassen sich relativ einfach mitlesen, respektive abfangen. So schreib etwa Google auf seiner Support-Seite für seine Messenger-App, dass die End-zu-End-Verschlüsselung für SMS nicht unterstützt werde.
Monatealte Login-Links bleiben gültig
Ein weiteres Problem ist, dass die Login-Tokens in den Links allem Anschein nach kein Ablaufdatum haben. Bei unseren Recherchen konnten wir uns mit mehreren unterschiedlichen Links, die aus Mails und SMS stammten, die mehrere Monate alt waren, erfolgreich auf fremden Geräten einloggen. Selbst ein Link aus einem Werbe-Mail vom Februar 2020 hat problemlos funktioniert. Zwar kommt dann eine Fehlermeldung, dass die Aktion nicht mehr verfügbar sei, im Konto eingeloggt ist man trotzdem. Sicherheitsexperte Ruef sagt dazu:
«Es ist zu empfehlen, dass bei solchen personalisierten Links nur eingeschränkte Zugriffe möglich sind. Zudem sollten die mitgeschickten Token nur kurze Zeit gültig sein, sodass ein Missbrauch nach ein paar Tagen gar nicht mehr möglich wäre.»
Sunrise hat die Sicherheitslücke bis zur Veröffentlichung dieses Beitrags nicht geschlossen. In einem E-Mail teilte uns das Unternehmen allerdings mit, dass man an einer Lösung arbeite:
«Um die Sicherheit beim Zugang zum Angebot und damit zum Kundenkonto zu erhöhen, evaluieren wir zurzeit verschiedene Massnahmen, welche wir per Anfang nächsten Jahres implementieren werden. Unabhängig davon empfehlen wir unseren Kundinnen und Kunden, das Passwort für my yallo regelmässig zu ändern.»
Mehr zum Thema Mobilfunkanbieter:
Kommentieren