Сервисы голосовой почты уязвимы к брутфорс-атакам
Взломав PIN-код голосовой почты, злоумышлении могут получить доступ к различным учетным записям жертвы.
Сервисы голосовой почты уязвимы к брутфорс-атакам, позволяющим злоумышленникам взломать четырехзначный PIN-код. Получив доступ к голосовой почте жертвы, злоумышленники могут захватить контроль над ее учетными записями WhatsApp, PayPal, LinkedIn и Netflix. Более того, как отмечают специалисты, защитные PIN-коды гораздо легче взламываются, чем пароли. В четверг, 27 декабря, на конгрессе 35C3 в Лейпциге (Германия) исследователь безопасности Мартин Виго (Martin Vigo) представил метод взлома PIN-кода голосовой почты, основанный на старых техниках фрикинга.
По словам Виго, автоматизированные телефонные звонки часто используются для сброса паролей, верификации учетных записей и других сервисов. Перехватив их (например, с помощью старых уязвимостей), злоумышленники могут получить доступ к учетным записям жертвы в различных сервисах. Кроме того, взломанная голосовая почта может использоваться для воспроизведения тонального сигнала (DTMF) в случае, если система сброса пароля требует введения PIN-кода.
С целью продемонстрировать атаку Виго написал скрипт для автоматизированного подбора PIN-кодов, чаще всего используемых для защиты голосовой почты (скрипт Voicemailcracker.py можно найти на GitHub). Как пояснил исследователь, Voicemailcracker использует Twilio – VOIP-сервис для программного управления телефонными звонками. Скрипт одновременно инициирует сотни звонков для взаимодействия с голосовой почтой и подбора PIN-кода, и все это без ведома жертвы.
Во время выступления на конференции Виго показал, как система может работать с включенной функцией брутфорса, и продемонстрировал, как ему удалось получить доступ к четным записям WhatsApp, PayPal и LinkedIn. С тех пор вышеупомянутые сервисы обновили свои системы проверки PIN-кода с целью предотвращения подобных атак в будущем.
Фрикинг – взлом телефонных автоматов, телефонных сетей и сетей мобильной связи с использованием скрытых от пользователя или недокументированных функций. Как правило, осуществляется для бесплатных звонков, пополнения личного мобильного счета и пр. начало истории фрикинга приходится на 1950-60-е годы.
Тональный сигнал – двухтональный многочастотный аналоговый сигнал, используемый для набора телефонного номера. DTMF применяется для автоматической телефонной сигнализации между устройствами, а также используются при ручном вводе абонентом команд для различных интерактивных систем, например, голосового автоответа.
