Telefonsvarer-systemer har hatt noen av de samme svakheter i flere tiår, og hackere kan bruke disse til å bryte inn på PayPal, og WhatsApp kontoer
@alexhern
Lør 11 Aug 2018 01.07 BST
Sist endret på Lør 11 Aug 2018 01.08 BST
Hackere å bryte inn mobilsvar-kontoer kan bruke access til å få inn apps som WhatsApp eller Paypal, eller spor noen hver bevegelse.
Foto: Steve Marcus/Reuters
Med bare et enkelt skript og en $40 virtuell telefonnummer, en hacker kan automatisk bryte seg inn mobilsvar kontoer i stor skala, og parlay at tilgang til kontroll over online kontoer, inkludert WhatsApp eller PayPal, eller til og med spore noen hver bevegelse.
Martin Vigo, en spansk hacker som fungerer på mobil sikkerhet, presentert ny forskning på Def Con hacking konferanse i Las Vegas, og viser hvor lett det kan være for en motivert angriper å bryte seg inn i telefonen beskjeder, og hvor mye mer skadelig at sikkerhetsbrudd kan være enn rett og slett å la en angriper vil lytte til meldinger.
Talemeldinger er fortsatt dårlig sikret, Vigo sa, med mange av de samme svakheter første dokumenterte mer enn 30 år siden stort sett uendret i back-ender av mobiloperatører. Alle de fire store AMERIKANSKE flyselskaper, for eksempel, har lett-guessable standard pins beskytte innboksen (som de fleste bruker den siste sifrene i telefonnummeret ditt-kontoen din er knyttet til, mens man bruker bare de samme fire siffer for hver konto).
Hacket satellitt-systemer kunne starte mikrobølgeovn-lignende angrep, ekspert advarer
Les mer
Selv for brukere å endre passordene sine, er det lite ekstra sikkerhet. De fleste operatører begrense beskyttelsen til kort numeriske koder, med minimum være bare fire sifre, fordi de ikke har noen forebygging mot brute force ” – angrep, la hackere uttømmende prøve alle mulige koden, og de selv gjøre brute force angrep enklere ved at innringere til å skrive inn tre pinnene på en gang, atskilt med en hash-symbolet.
Svakheten med talepost systemer er godt dokumentert, og mange av teknikkene Vigo beskrevet var kjent misbrukt av journalister på den nå nedlagte Britiske avisen News of the World. Men Vigo lagt til et ytterligere vri til sårbarheter, og legg merke til hvordan de samhandler med sikkerhet systemer over nettet.
Brukere logge inn for å WhatsApp, for eksempel ved å be om en tekstmelding, og deretter taste inn en kode inn i appen. Men etter en liten forsinkelse, de kan også be om selskapet kan du ringe dem og lese koden ut i stedet. Ved å be om koden når målet telefonen er ikke tilgjengelig – for eksempel, mens de flyr, eller på en underjordisk tog – det blir presset til telefonsvarer, hvor en angriper kan deretter lytte til det, angir du den og gripe WhatsApp konto for seg selv.
Noen selskaper prøver å kortslutning som angrep. PayPal, for eksempel, lar brukerne tilbakestiller passord med en telefonsamtale, men krever en firesifret kode for å bli skrevet inn i tastaturet under samtalen, å hindre en angriper fra å lytte til en telefonsvarer og det å få tilgang.
Hackable implantert medisinsk utstyr som kan føre til dødsfall, sier forskerne
Les mer
Men i et nytt angrep demonstrert av Vigo, viste han en vei rundt det: innstillingen mobilsvar er en hilsen melding til en innspilling av tastevolum triks PayPal-systemet til å tro at det har en ekte person. “Vi bare kompromittert PayPal,” Vigo erklært, til applaus fra publikum.
“Hvilke tjenester som er sårbare? For å tilbakestille passord for PayPal, Instagram, Netflix, eBay, LinkedIn,” Vigo sa. “Godkjenning for WhatsApp, Signal, Twilio, Google Voice.”
Vigo anbefalt brukere forsvare seg mot muligheten for slike angrep ved å endre standard pin-kode på sin telefonsvarer til en lang kode, eller for å slå av mobilsvar-tjenesten helt hvis de ikke bruker det. Han kalles også på internett-tjenester om å slutte å bruke automatiske anrop for sikkerhet formål, og på operatører å avslutte praksisen med å bruke en standard passordet for talepost.