- A+
语音邮件系统的概念验证黑客显示了它如何导致帐户接管多个在线服务。
德国莱比锡 - 语音邮件系统很容易受到针对保护它们的四位数个人识别码(PIN)的暴力攻击而受到攻击。 研究人员表示,恶意用户可以访问语音邮件系统,然后接管WhatsApp,PayPal,LinkedIn和Netflix等服务的在线帐户。
移动安全专家Martin Vigo周四在35C3上发表了他的研究报告,他警告说,保护语音邮件系统的PIN要容易破解,而传统密码是一个薄弱的环节,可能导致黑客帐户结果。
“自动电话呼叫是密码重置,帐户验证和其他服务的常用解决方案,”Vigo说。 “通过利用旧的弱点和当前的技术来利用这种最薄弱的环节 - 语音邮件系统,这些可能会受到影响。”
受早期电话盗用先驱的启发,Vigo将一些相同的技术应用于现代语音邮件黑客攻击。 研究人员表示,一旦受到攻击,有动力的攻击者可以直接收听在线服务发送的自动密码重置消息。 如果密码重置系统要求用户输入PIN,则还可以将受损的语音邮件系统设置为播放双音多频(DTMF)音。
为了帮助Vigo在语音邮件帐户中做出妥协,Vigo编写了一个自动脚本 ,可以强制破解语音邮件系统使用的大多数四位数PIN码,而无需电话主人知道。 他向GitHub发布了名为Voicemailcracker.py的代码(减去蛮力PIN破解功能),以帮助进一步研究这一领域。
在会议舞台上的演示中,Vigo展示了系统如何在打开暴力功能的情况下工作,并演示了他如何能够访问WhatsApp,PayPal和LinkedIn。 他说,每项服务都已更新了他们的PIN验证系统,以防止类似的攻击。
“Voicemailcracker使用Twilio,这是一种VOIP服务,允许您以编程方式管理电话呼叫。 然后,Voicemailcracker同时启动了数百个电话,与语音邮件系统进行交互,并强制执行PIN - 所有这些都没有目标对攻击的了解,“他说。
研究人员讨论了在用户不知情的情况下发起攻击的其他方法,例如当用户在飞机上进行攻击或使用后门访问不需要直接呼叫目标的用户语音邮件系统时。
研究人员表示,他已经联系了易受攻击的在线服务和电信提供商,并让他们意识到了这一弱点。
他建议消费者不要使用易于猜测的PIN码,例如出生年份或简单数字模式。 对于在线服务,他建议他们不要出于安全目的使用自动呼叫。 他建议运营商不允许用户使用DTMF音调进行问候,并禁止用户使用易于猜测的PIN码。
