Voicemail system har haft lite av samma svagheter i årtionden, och hackare kan använda dem för att bryta in på PayPal och WhatsApp konton
@alexhern
Lör 11 Aug 2018 01.07 BST
Senast ändrad Lör 11 Aug 2018 01.08 BST
Hackare bryter sig in i röstbrevlådan konton kan använda för att få tillgång att komma in appar som WhatsApp eller Paypal, eller spåra någon varje rörelse.
Foto: Steve Marcus/Tt-Reuters
Med bara en enkel skript och en $40 virtuella telefonnummer, en hacker kan automatiskt dela in voicemail konton i stor skala, och parlay som tillgång i kontroll över online-konton, inklusive WhatsApp eller PayPal, eller ens spår någon varje rörelse.
Martin Vigo, en spansk hacker som arbetar inom mobil säkerhet, presenteras ny forskning vid Def Con hacka konferens i Las Vegas, vilket visar hur lätt det kan vara för en motiverad angripare att bryta sig in telefonen röstmeddelanden, och hur mycket mer skadligt att brott mot säkerheten kan vara än att bara låta en angripare lyssna på meddelanden.
Röstmeddelanden är fortfarande dåligt säkrad, Vigo sagt, med många av samma svagheter första dokumenterade mer än 30 år sedan i stort sett oförändrad i back-slutar för mobiloperatörer. Alla de fyra stora AMERIKANSKA flygbolag, till exempel, har lätt-guessable standard stift skydda inkorg (de flesta använder den sista siffrorna i telefonnumret som kontot är associerad med, samtidigt som man använder helt enkelt samma fyrsiffriga koden för varje konto).
Hackad satellit-system skulle kunna lansera mikrovågsugn-liknande attacker, expert varnar
Läs mer
Även för användarna att ändra sina lösenord, det är lite extra säkerhet. De flesta flygbolag begränsa skyddet till korta numeriska koder, med den minsta är bara fyra siffror, att de inte har någon förebyggande mot brute force attacker, så att hackare på ett uttömmande sätt försöker på alla möjliga kod, och de till och med göra brute force attacker lättare genom att låta den som ringer för att ange tre stiften på en gång, separerade med en hash-symbol.
Den svaga voicemail system är väl dokumenterat, och många av de tekniker Vigo beskrev var bekant missbrukas av journalister vid den numera nedlagda Brittiska papper News of the World. Men Vigo lagt till en ytterligare twist till sårbarheter, notera hur de interagerar med system för säkerhet på webben.
Användare logga in för att WhatsApp, till exempel, genom att begära in ett sms och sedan skriva in en kod i appen. Men efter en minut dröjsmål, kan de också begära att företaget ringer dem och läsa koden ut i stället. Genom att begära att koden när målet är telefonen är inte tillgänglig för exempel, medan de flyger, eller på en tunnelbana – det får skjuts till röstbrevlådan, där en angripare kan sedan lyssna på den, skriv in det och ta vara på de WhatsApp konto för sig.
Vissa företag försöker kortsluta att attackera. PayPal, till exempel, kan användare återställa lösenord med ett telefonsamtal, men det krävs en fyrsiffrig kod för att skrivas in på knappsats under samtalet, att förhindra en attackerare från att helt enkelt lyssna till en röstbrevlåda och få tillgång.
Hackable inopererade medicinska enheter kan orsaka dödsfall, säger forskarna
Läs mer
Men i en andra attack framgår av Vigo, han visade en väg runt att: ställa in voicemail hälsning meddelande till en inspelning av knappljudet tricks PayPal system och tro att det har fått genom att en verklig person. “Vi bara äventyras PayPal,” Vigo förklarade, till applåder från publiken.
“Vilka tjänster som är utsatta? Återställ lösenord för PayPal, Instagram, Netflix, eBay, LinkedIn,” Vigo sa. “Autentisering för WhatsApp, Signal, Twilio, Google Voice.”
Vigo rekommenderade användare att försvara sig mot möjligheten av sådana attacker genom att ändra standard-pin-kod på sin röstbrevlåda till en lång kod, eller stänga av röstbrevlådan helt och hållet om de inte använder det. Han uppmanade också på online-tjänster för att sluta använda automatiska samtal av säkerhetsskäl och för transportörerna att sluta med en default-lösenordet för röstbrevlådan.