VoIP služby jsou zranitelné vůči botnetům, bezpečnostní výzkumníci říkají

Vady v populárních internetových telefonních systémech by mohly být využity k vytvoření sítě hackovaných telefonních účtů, poněkud podobných botnetům, které v uplynulých letech utrpěly katastrofu v počítačích.

Výzkumníci společnosti Secure Science nedávno objevili způsob, jak uskutečňovat neoprávněné hovory jak od společnosti Skype, tak z nových komunikačních systémů Google Voice, podle spoluzakladatele firmy Lance James

Odposlouchávání IP

Útočník by mohl získat přístup k účtům pomocí techniky objevené výzkumnými pracovníky, pak pomocí nízkých nákladů PBX (soukromé pobočkové ústředny) program, aby tisíce hovorů přes tyto účty.

Volání by byla prakticky nedostupná, takže útočníci mohli nastavit automatizovaný nepořádek systémy stárnutí, aby se pokusily ukrást citlivé informace od obětí, útok známý jako vishing. Hovory mohou být zaznamenaná zpráva s dotazem na příjemci, aby si například mohl aktualizovat podrobnosti o svém bankovním účtu.

"Pokud ukradnu spoustu [účtů Skype], mohu nastavit [PBX], aby všechny ty čísla, a můžu nastavit virtuální Skype botnet pro odchozí hovory. Bylo to peklo na kolečkách pro phisher a bylo by to peklo útoku na Skype, "řekl James.

V Google Voice by útočník mohl dokonce ani při příchozích hovorech ani při příchozích hovorech neříká, "řekl James. K zablokování hovoru by útočník využíval funkci nazvanou Dočasné přesměrování volání, aby do účtu přidal další číslo, poté pomocí volného softwaru, jako je Asterisk, odpověděl na hovor dříve, než oběť někdy zaslechla zvonění. Poté stisknutím symbolu hvězdy může být hovor přesměrován na telefonní číslo oběti, což útočníkovi umožní poslouchat hovor.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Spoofing výzkumné pracovníky společnosti Secure Science mohli získat přístup k účtům, které si nastavili pomocí služby online nazývané spoofcard, která uživatelům umožní, aby vypadali, jako by volali z libovolného čísla, které si přejí.

Spoofcard byl použit v minulosti pro přístup k hlasovým účtům. Nejvíce známá byla vina, když účet BlackBerry herečky Lindsay Lohan byl napaden před třemi lety a pak poslal nevhodné zprávy.

Útoky na Google Voice a Skype používají různé techniky, ale v podstatě oba pracují, protože ani jedna služba nevyžaduje heslo pro přístup k jeho hlasovému systému

Aby útok Skype mohl fungovat, obět musí být do 30 minut od přihlášení do Skype zavlečena do návštěvy škodlivého webu. V útoku Google Voice (pdf) by hacker nejprve potřeboval znát telefonní číslo oběti, ale společnost Secure Science navrhla způsob, jak to zjistit pomocí SMS zpráv služby Google Voice.

Vadné adresy Google

Společnost Google opravila chyby, které umožnily útok společnosti Secure Science minulý týden, a do svého hlasového systému přidala požadavek na heslo, uvedla společnost ve svém prohlášení. "Spolupracovali jsme se společností Secure Science, abychom se vypořádali s otázkami, které vznesli se službou Google Voice, a my jsme již provedli několik vylepšení našich systémů," uvedla společnost. "Nedostali jsme žádné zprávy o přístupu k účtům způsobem popsaným ve zprávě, a takový přístup by vyžadoval splnění několika podmínek současně."

Skype chyby ještě nebyly patched, podle Jamesa. EBay, mateřská společnost společnosti Skype, neodpověděla okamžitě na žádost o připomínku.

Útoky ukazují, jak náročné bude bezpečně integrovat starý školní telefonní systém do svobodnějšího světa internetu, řekl James. "Takový druh dokazuje … jak snadné je VoIP, aby se zvedl," řekl. Věří, že tyto chyby téměř jistě ovlivňují i ​​další systémy VoIP. "Tam jsou lidé, kteří mohou zjistit, jak využít telefonní linky."