VoIP-palvelut ovat verkkohyökkäyksissä, tietoturva-asiantuntijat sanovat

Suosituimpien Internet-pohjaisten puhelinjärjestelmien puutteita voitaisiin hyödyntää luomalla hakkeroidun puhelintatilin verkko, joka on jokseenkin verrattavissa sellaisiin botnet-verkkoihin, jotka ovat viime vuosina haavoittaneet PC: ää.

Secure Sciencein tutkijat löysivät hiljattain tapoja tehdä luvattomia puheluita sekä Skype-palvelusta että uusista Google Voice -viestintäjärjestelmistä.

IP-salakuuntelu

Hyökkääjä voi päästä käsiksi tileihin tekniikoita, jotka ovat löytäneet tutkijat, käytä sitten edullisen PBX-järjestelmän (yksityinen puhelinverkkoyhteys) tekemään tuhansia puheluja näiden tilien kautta.

Puhelut olisivat käytännössä selvittämättömiä, joten hyökkääjät voivat perustaa automatisoituja sotkuja ikääntymisen järjestelmät yrittävät varastaa herkkiä tietoja uhreilta, hyökkäys, joka tunnetaan nimellä vishing. Puhelut saattavat olla tallennettu viesti, jossa pyydetään vastaanottajaa päivittämään esimerkiksi pankkitilitietojasi.

"Jos varastan joukon [Skype-tilejä], voin perustaa [PBX] pyöreäksi kaikki nämä numerot, ja voin perustaa virtuaalisen Skype-botnetin lähtevän puhelun tekemiseen. Se olisi helvetti pyörillä phisherille ja se olisi helvetin hyökkäys Skype'lle ", James sanoi.

Google Voicessa hyökkääjä voisi jopa leikata tai snoop saapuvien puhelujen, James sanoi. Jos haluat kuunnella puhelun, hyökkääjä käyttää tilapäisesti kutsuttua väliaikaista puhelunvälitystä kutsumalla toisen numeron tiliin, ja voit käyttää vastaavaa puheluun ilmaista ilmaisohjelmistoa, kuten Asterisk, ennen kuin uhri kuuli sormen. Kun painat sitten tähtikuvaketta, puhelun voi siirtää uhrin puhelimeen, jolloin hyökkääjä voi kuunnella puhelun.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Huijaus puhelun lähde

Secure Science-tutkijat pääsivät käyttämään tiliä, jonka he olivat perustaneet käyttäen huijauskorttia kutsuttua verkkopalvelua, jonka avulla käyttäjät voivat näyttää siltä, ​​että he soittavat mistä tahansa haluamastaan ​​numerosta.

Spoofcardia on käytetty aiemmin voin käyttää puhepostitilejä. Tunnetuimmin syytettiin, kun näyttelijä Lindsay Lohanin BlackBerry-tiliä hakkeroitiin kolme vuotta sitten ja lähetettiin sitten epätarkoituksenmukaisten viestien lähettämiseen.

Google Voice- ja Skype-hyökkäykset käyttävät erilaisia ​​tekniikoita, mutta olennaisesti molemmat toimivat, koska yksikään palvelu ei vaadi salasanaa päästä hänen ääniviestijärjestelmäänsä.

Skype-hyökkäys toimisi uhrin joutuessa petkuttamaan vierailemaan haitallisella verkkosivustolla 30 minuutin kuluessa siitä, kun Skype kirjautui sisään. Google Voice -hyökkäyksestä (pdf) hakkeri tarvitsee ensin tietää uhrin puhelinnumeron, mutta Secure Science on kehittänyt keinon selvittää tämä Google Voice -viestipalvelun (SMS) avulla.

Google-osoitteet virheet

Google korjasi bugit, jotka mahdollistivat Secure Sciencein hyökkäyksen viime viikolla, ja se on lisännyt salasanavaatimuksensa vastaajaviestijärjestelmäänsä, yhtiö totesi lausunnossaan. "Olemme työskennelleet yhteistyössä Secure Sciencein kanssa käsittelemään Google Voiceen esille ottamiaan ongelmia ja olemme jo tehneet useita parannuksia järjestelmäämme", sanoi yhtiö. "Emme ole saaneet raportteja mistä tahansa tilistä, joita päästään käsittelemään raportissa kuvatulla tavalla, ja tällainen käyttö edellyttää useiden ehtojen täyttymistä samanaikaisesti."

Skype-puutteita ei ole vielä korjattu Jamesin mukaan. EBay, Skype: n emoyhtiö, ei vastannut välittömästi kommentointipyyntöön.

Hyökkäykset osoittavat, kuinka hankalaa on vanhan koulujärjestelmän turvallinen integrointi Internetin vapaampaan maailmaan, James sanoi. "Tällainen todistaa … miten helppo VoIP on ruuhkautua", hän sanoi. Hän uskoo, että tällaiset puutteet vaikuttavat lähes varmasti myös muihin VoIP-järjestelmiin. "Siellä on ihmisiä, jotka voivat selvittää, miten napauttaa puhelinlinjoja."