A VoIP szolgáltatások sebezhetők a botnetekhez, a biztonsági kutatók szerint

A népszerű Internet-alapú telefonrendszerek hibáit kihasználva egy feltörött telefonszámlák hálózatát hozhatjuk létre, olyan, mint az olyan botnetek, amelyek az utóbbi években pusztítást okoztak PC-kkel.

A biztonságos tudomány kutatói nemrégiben felfedezték, hogy a Skype és az új Google Voice kommunikációs rendszerek jogosulatlan hívásokat kezdeményezzenek, a vállalat társalapítója, Lance James szerint.

IP lehallgatás

A támadó hozzáférhet a fiókokhoz a kutatók által felfedezett technikákat, majd alacsony költségű alközponti (private branch exchange) programot használva, hogy több ezer hívást kezdeményezhessenek ezeken a számlákon.

A hívások gyakorlatilag nem feltétlenek lennének, így a támadók automatizált rendetlenséget hozhatnak létre az idősödő rendszereket, hogy megpróbálják ellopni az érzékeny információkat az áldozattól, egy úgynevezett vishing támadást. A hívások lehetnek egy rögzített üzenet, amely megkéri a címzettet, hogy frissítsék bankszámlájának adatait. Például:

"Ha egy csomó [Skype-fiókot] ellopok, beállíthatok [egy alközpontot], és létrehozhatok egy virtuális Skype-botnet-t a kimenő hívások kezdeményezéséhez, a pokolra kerülő kerekek ellen, és ez egy pokolért a Skype-nak támadása lenne. "

A Google Voice-ban a támadó még a bejövő hívásokra is lehallgatják vagy elcsípik - mondta James. Hívás elfogadásához a támadó egy ideiglenes hívásátirányítással ellátott funkciót használva hozzáad egy újabb számot a számlához, majd használjon szabad szoftvereket, például az Asterisk-ot, hogy válaszoljon a hívásra, mielőtt az áldozat valaha hallott volna egy gyűrűt. Ezután a csillagjelet megnyomva a hívást az áldozat telefonjára továbbíthatjuk, így a támadónak lehetősége van arra, hogy meghallgassa a hívást.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Spoofing a hívás forrása

A Secure Science kutatók hozzáférhettek az általuk létrehozott számlákhoz egy olyan online szolgáltatás használatával, amelynek neve spoofcard, amely lehetővé teszi a felhasználók számára, hogy úgy jelennek meg, mintha hívnának bármilyen számot.

Spoofcardot használtak a múltban a hangpostafiókok eléréséhez. A legtöbb híresztelést azzal hibáztatták, amikor Lindsay Lohan BlackBerry-fiókját három évvel ezelőtt feltörték, majd nem megfelelő üzeneteket küldtünk.

A Google Voice és a Skype támadások különböző technikákat használnak, de lényegében mindkettőjük azért működik, mert egyik szolgáltatás sem igényel jelszót hogy hozzáférjen a hangposta rendszeréhez.

A Skype-támadásra való munkához az áldozatot be kell vonni egy rosszindulatú weboldalba, 30 percen belül, miután bejelentkezett a Skype-ba. A Google Voice támadás (pdf) során a hackernek először tudnia kell az áldozat telefonszámát, de a Secure Science kidolgozta a Google Voice rövid szöveges üzenetének (SMS) használatának módját.

Google Addresses Fails

A Google biztonsági hibákkal foglalkozott, amelyek lehetővé tették a Secure Science támadást a múlt héten, és jelszavas igényt adott a hangposta rendszerére, nyilatkozta a vállalat. "A Biztonsági Tudománygal együttműködve dolgozunk a Google Voice szolgáltatással felvetett kérdéseik megoldása érdekében, és már számos fejlesztést hajtottunk végre a rendszerünkben" - mondta a vállalat. "Nem kaptunk jelentést arról, hogy a beszámolóban leírt számlákhoz hozzáférést kapnánk, és az ilyen hozzáféréshez több feltétel is szükséges lenne egyszerre."

A Skype hibáit még nem javították James szerint. Az EBay, a Skype anyavállalata nem válaszolt azonnal a megjegyzésre vonatkozó megkeresésre.

A támadások azt mutatják, hogy nehéz lesz a régi iskola telefonrendszerének biztonságosan integrálni az internet szabadabb forgalmú világába. "Ez a fajta bizonyítja … mennyire könnyű a VoIP-t felborítani" - mondta. Úgy véli, hogy ezek a hibák szinte biztosan érintik a többi VoIP rendszert is. "Vannak emberek, akik kitalálhatják, hogyan érhetik el a telefonvonalakat."