Οι υπηρεσίες VoIP είναι ευάλωτες σε botnets, οι ερευνητές της ασφάλειας λένε

Τα ελαττώματα σε δημοφιλή συστήματα τηλεφωνίας μέσω του Διαδικτύου θα μπορούσαν να αξιοποιηθούν για να δημιουργήσουν ένα δίκτυο λογαριασμών με μυστικισμένους τηλεφώνους, κάπως όπως τα botnets που έχουν καταστρέψει τους υπολογιστές τα τελευταία χρόνια.

Οι ερευνητές της Secure Science ανακάλυψαν πρόσφατα τρόπους για να πραγματοποιήσουν μη εξουσιοδοτημένες κλήσεις τόσο από το Skype όσο και από τα νέα συστήματα επικοινωνίας του Google Voice, σύμφωνα με τον συνιδρυτή της εταιρίας Lance James

Υποκλοπής κατά IP

οι τεχνικές που ανακαλύφθηκαν από τους ερευνητές και στη συνέχεια χρησιμοποιούν ένα χαμηλού κόστους πρόγραμμα PBX (private branch exchange) για να κάνουν χιλιάδες κλήσεις μέσω αυτών των λογαριασμών.

Οι κλήσεις θα ήταν σχεδόν ανιχνεύσιμες, οπότε οι επιτιθέμενοι θα μπορούσαν να δημιουργήσουν αυτοματοποιημένο χάος συστήματα γήρανσης για να προσπαθήσουν και να κλέψουν τις ευαίσθητες πληροφορίες από τα θύματα, μια επίθεση γνωστή ως vishing. Οι κλήσεις μπορεί να είναι ένα εγγεγραμμένο μήνυμα που ζητά από τον παραλήπτη να ενημερώσει τα στοιχεία του τραπεζικού λογαριασμού του, για παράδειγμα.

"Αν κλέψω μια δέσμη [λογαριασμών Skype], μπορώ να ρυθμίσω [PBX], και μπορώ να δημιουργήσω ένα εικονικό botnet Skype για να πραγματοποιώ εξερχόμενες κλήσεις.Κατάλληλα θα ήταν για τροχούς ένα phisher και θα ήταν μια κόλαση μιας επίθεσης για το Skype ", δήλωσε ο James.

Στο Google Voice, ο εισβολέας μπορούσε ακόμη και να παρακολουθήσετε ή να παρακολουθήσετε εισερχόμενες κλήσεις, είπε ο James. Για να παρεμποδίσει μια κλήση, ο επιτιθέμενος θα χρησιμοποιήσει ένα χαρακτηριστικό που ονομάζεται Προσωρινή προώθηση κλήσεων για να προσθέσει έναν άλλο αριθμό στο λογαριασμό και στη συνέχεια να χρησιμοποιήσει ελεύθερο λογισμικό όπως ο Asterisk για να απαντήσει στην κλήση πριν το θύμα ακούσει ποτέ ένα δαχτυλίδι. Πατώντας στη συνέχεια το σύμβολο του αστεριού, η κλήση θα μπορεί να προωθηθεί στο τηλέφωνο του θύματος, δίνοντας στον εισβολέα έναν τρόπο να ακούσει την κλήση.

[

Spoofing οι ερευνητές της πηγής κλήσης

της Secure Science μπορούσαν να αποκτήσουν πρόσβαση σε λογαριασμούς που είχαν δημιουργήσει χρησιμοποιώντας μια ηλεκτρονική υπηρεσία που ονομάζεται spoofcard, η οποία επιτρέπει στους χρήστες να εμφανίζονται σαν να καλούν από οποιοδήποτε αριθμό επιθυμούν.

Χρησιμοποιήθηκε Spoofcard στο παρελθόν για πρόσβαση στους λογαριασμούς φωνητικού ταχυδρομείου. Το πιο φημισμένο, κατηγορήθηκε όταν ο λογαριασμός BlackBerry της ηθοποιού Lindsay Lohan ήταν χαραγμένος πριν από τρία χρόνια και στη συνέχεια χρησιμοποιήθηκε για να στείλει ακατάλληλα μηνύματα.

Οι επιθέσεις στο Google Voice και το Skype χρησιμοποιούν διαφορετικές τεχνικές, αλλά ουσιαστικά και οι δύο λειτουργούν επειδή καμία υπηρεσία δεν απαιτεί κωδικό πρόσβασης για να αποκτήσετε πρόσβαση στο σύστημα αυτόματου τηλεφωνητή.

Για να λειτουργήσει η επίθεση Skype, το θύμα θα πρέπει να εξαπατηθεί για να επισκεφτεί μια κακόβουλη τοποθεσία Web μέσα σε 30 λεπτά από τη σύνδεσή του στο Skype. Στην επίθεση Google Voice (pdf), ο χάκερ θα πρέπει πρώτα να γνωρίζει τον αριθμό τηλεφώνου του θύματος, αλλά η Secure Science έχει σχεδιάσει έναν τρόπο να το καταλάβει χρησιμοποιώντας την υπηρεσία σύντομων μηνυμάτων (SMS) του Google Voice.

Google Addresses Flaws

Η Google ενημέρωσε τα σφάλματα που επέτρεψαν την επίθεση της Secure Science την περασμένη εβδομάδα και πρόσθεσε μια απαίτηση κωδικού πρόσβασης στο σύστημα φωνητικού ταχυδρομείου της, ανέφερε η εταιρεία σε δήλωση. "Έχουμε εργαστεί σε συντονισμό με την Secure Science για να αντιμετωπίσουμε τα θέματα που έθιξαν με το Google Voice και έχουμε ήδη κάνει αρκετές βελτιώσεις στα συστήματά μας", ανέφερε η εταιρεία. "Δεν έχουμε λάβει καμία αναφορά για πρόσβαση σε οποιονδήποτε λογαριασμό με τον τρόπο που περιγράφεται στην αναφορά και αυτή η πρόσβαση θα απαιτήσει μια σειρά προϋποθέσεων που πρέπει να πληρούνται ταυτόχρονα."

Τα ελαττώματα του Skype δεν έχουν ακόμη επιδιορθωθεί, σύμφωνα με τον James. Η EBay, η μητρική εταιρεία του Skype, δεν απάντησε άμεσα σε ένα αίτημα για σχολιασμό.