Usługi VoIP są podatne na botnety, badacze bezpieczeństwa mówią

Luki w popularnych internetowych systemach telefonicznych można wykorzystać do stworzenia sieci zhackowanych kont telefonicznych, podobnie jak botnety, które sieją spustoszenie w komputerach od kilku lat.

Naukowcy z Secure Science niedawno odkryli sposoby wykonywania nieautoryzowanych połączeń zarówno przez Skype'a, jak i nowe systemy komunikacji Google Voice, zgodnie z Lance James, współzałożycielem firmy.

Podsłuch przez IP

Osoba atakująca może uzyskać dostęp do kont za pomocą techniki odkryte przez naukowców, a następnie użyj taniego PBX (program wymiany prywatnej), aby wykonać tysiące połączeń za pośrednictwem tych kont.

Połączenia byłyby praktycznie niemożliwe do wykrycia, więc atakujący mogliby skonfigurować automatyczny bałagan starzejące się systemy próbujące wykraść wrażliwe informacje od ofiar, atak znany jako bierny. Połączenia mogą być nagraną wiadomością proszącą adresata o aktualizację danych konta bankowego, na przykład.

"Jeśli ukradnę garść [kont Skype], mogę skonfigurować [PBX], aby zaokrąglić wszystkie numery i mogę skonfigurować wirtualny botnet Skype do wykonywania połączeń wychodzących. Byłoby to piekielne koło dla phishera, a to byłby piekielny atak na Skype'a "- powiedział James.

W Google Voice atakujący mógł nawet przechwytywać lub podsłuchiwać rozmowy przychodzące, powiedział James. Aby przechwycić połączenie, atakujący użyłby funkcji zwanej Tymczasowym przekazywaniem połączeń, aby dodać kolejny numer do konta, a następnie użyć wolnego oprogramowania, takiego jak Asterisk, aby odebrać połączenie, zanim ofiara kiedykolwiek usłyszy dzwonek. Następnie naciskając symbol gwiazdki, połączenie może zostać przekazane telefonowi ofiary, dając osobie atakującej sposób na podsłuchanie połączenia.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Podszywanie się Źródło Call

Badacze z Secure Science mieli dostęp do kont, które założyli za pomocą usługi internetowej o nazwie spoofcard, która pozwala użytkownikom sprawić, by wyglądali tak, jakby dzwonili z dowolnego numeru.

Spoofcard został użyty w przeszłości, aby uzyskać dostęp do kont poczty głosowej. Najbardziej znany był fakt, że konto BlackBerry aktorki Lindsay Lohan zostało zhackowane trzy lata temu, a następnie wysyłane wiadomości nieodpowiednie.

Ataki na Google Voice i Skype używają różnych technik, ale zasadniczo oba działają, ponieważ żadna usługa nie wymaga hasła aby uzyskać dostęp do poczty głosowej.

Aby atak Skype zadziałał, ofiara musiałaby zostać oszukana, odwiedzając złośliwą witrynę w ciągu 30 minut od zalogowania do Skype. W ataku Google Voice (pdf) haker musiał najpierw poznać numer telefonu ofiary, ale Secure Science opracowało sposób, aby to sprawdzić za pomocą usługi SMS Short Message Service (SMS).

Google Addressresses Flaws

Google załatało błędy, które umożliwiły atak Secure Science w zeszłym tygodniu i dodało wymóg hasła do systemu poczty głosowej, podała firma w oświadczeniu. "Pracujemy w koordynacji z Bezpieczną Nauką, aby rozwiązać problemy, które pojawiły się w Google Voice, i wprowadziliśmy już kilka ulepszeń do naszych systemów" - powiedziała firma. "Nie otrzymaliśmy żadnych raportów o kontach dostępnych w sposób opisany w raporcie, a taki dostęp wymagałby jednoczesnego spełnienia kilku warunków."

Wady Skype'a nie zostały jeszcze załatane, według Jamesa. EBay, firma macierzysta Skype'a, nie odpowiedziała natychmiast na prośbę o komentarz.

Ataki pokazują, jak trudne będzie bezpieczne połączenie starego systemu telefonicznego z bardziej swobodnym światem Internetu, powiedział James. "Ten rodzaj dowodzi … jak łatwo VoIP może zepsuć", powiedział. Uważa, że ​​tego rodzaju błędy prawie na pewno wpływają również na inne systemy VoIP. "Są ludzie, którzy mogą dowiedzieć się, jak dotknąć linii telefonicznych."