Voicemail systemer har haft nogle af de samme svagheder i årtier, og hackere kan bruge dem til at bryde ind på PayPal og WhatsApp konti
@alexhern
Lør 11 Aug 2018 01.07 BST
Sidst opdateret Lør 11 Aug 2018 01.08 BST
Hackere at bryde ind i voicemail-konti kan bruge denne adgang til at komme ind i apps som WhatsApp eller Paypal, eller spore nogen er enhver bevægelse.
Foto: Steve Marcus/Reuters
Med blot et simpelt script og en $40 virtuelle telefonnummer, en hacker kan automatisk bryde ind voicemail-konti på skalaen, og parlay, at adgangen til kontrol over online-konti, herunder WhatsApp eller PayPal, eller endda spore en person, er enhver bevægelse.
Martin Vigo, en spansk hacker, der arbejder inden for mobil sikkerhed, præsenteret ny forskning fra Def Con hacking-konferencen i Las Vegas, der viser, hvor let det kan være for en motiveret hacker at bryde ind i telefonen voicemails, og hvor meget mere ødelæggende, at brud på sikkerheden kunne være end blot at lade en angriber lytte til beskeder.
Voicemails er stadig dårligt sikret, Vigo sagde, med mange af de samme svagheder første gang beskrevet for mere end 30 år siden et stort set uændret på bagsiden-enderne af mobile tjenester. Alle fire store AMERIKANSKE luftfartsselskaber, for eksempel, har nemt-guessable standard ben beskyttelse af indbakken (de fleste bruger de sidste par cifre i telefonnummeret på den konto, der er forbundet med, mens man bruger simpelthen de samme fire-cifrede kode for hver konto).
Hacket satellit-systemer kunne lancere en mikrobølgeovn-lignende angreb, advarer ekspert
Læs mere
Selv for brugere, der ændre deres adgangskoder, der er lidt ekstra sikkerhed. De fleste luftfartsselskaber begrænse beskyttelsen til korte numeriske koder, med minimum være blot fire cifre; de har ikke nogen forebyggelse mod brute force-angreb, så hackere udtømmende prøve alle mulige kode, og de endda gøre brute force-angreb nemmere ved at tillade opkald til at træde tre ben på én gang, adskilt med et hash-symbol.
Den svage voicemail systemer er veldokumenteret, og mange af de teknikker, Vigo, som er beskrevet blev berømt misbrugt af journalister, der på den nu hedengangne Britisk avis News of the World. Men Vigo er tilføjet en yderligere drejning til sårbarheder, som noterer sig de måder, de interagerer med sikkerhed systemer på tværs af internettet.
Brugere logger ind på WhatsApp, for eksempel ved at bede om en sms-besked og derefter indtaste en kode i app. Men efter et minuts forsinkelse, de kan også anmode om, at selskabet ringe til dem og læse koden ud i stedet. Ved at anmode om koden, når den målgruppe telefon ikke er tilgængelig – for eksempel, mens de flyver, eller på et underjordiske tog, det får skubbet til voicemail, hvor en angriber kan derefter lytte til det, skal du indtaste det, og gribe de WhatsApp konto for sig selv.
Nogle virksomheder forsøg på at kortslutte at angribe. PayPal, for eksempel, giver brugerne mulighed for at nulstille adgangskoder med et telefonopkald, men kræver en fire-cifret kode, som skal indtastes i tastaturet under et opkald, der forhindrer, at en hacker fra blot at lytte til en telefonsvarer og få adgang.
Hackable implanterede medicinske enheder kan forårsage dødsfald, siger forskere
Læs mere
Men i et andet angreb fremgår af Vigo, han viste en vej rundt, at: opsætning af voicemail ‘s hilsen til en optagelse af tastaturtoner tricks PayPal’ s system til at tro, at det kom igennem til en virkelig person. “Vi har lige kompromitteret PayPal,” Vigo erklæret, at bifald fra publikum.
“Hvad service er sårbare? Nulstilling af adgangskode til PayPal, Instagram, Netflix, eBay, LinkedIn,” Vigo sagde. “Godkendelse til WhatsApp, Signal, Twilio, Google Voice.”
Vigo anbefales, at brugerne forsvare sig mod muligheden af, at sådanne angreb er ved at ændre pinkoden på deres telefonsvarer til en lang kode, eller deaktivering af telefonsvarer helt, hvis de ikke bruger det. Han opfordrede også til, at online-tjenester til at stoppe ved hjælp af automatiserede opkald til sikkerheden, og luftfartsselskaber til at ophøre med den praksis, ved at bruge en standard-password for voicemails.