研究發(fā)現(xiàn)VoIP服務(wù)易受僵尸網(wǎng)絡(luò)侵襲
彭海燕 2009/04/13
基于互聯(lián)網(wǎng)的電話系統(tǒng)中存在的漏洞�����,可被黑客手機(jī)賬戶用來創(chuàng)建某個(gè)網(wǎng)絡(luò)�,這有點(diǎn)像過去幾年里����,受到破壞后的PC被用來搭建僵尸網(wǎng)絡(luò)�����。
這可絕不是聳人聽聞���。Secure Science的研究員最近就發(fā)現(xiàn),可以未經(jīng)授權(quán)就獲得來自Skype和Google Voice的呼叫請(qǐng)求����。為了更清楚地說明這個(gè)問題,本文將從下面三個(gè)角度分別進(jìn)行論述:
通過IP竊聽
使用研究人員發(fā)現(xiàn)的某種技術(shù)�����,攻擊者就可以獲取電話用戶賬號(hào)�。然后,使用一種低成本的PBX(Private Branch eXchange��,用戶交換機(jī))計(jì)劃�,讓數(shù)以千計(jì)的電話呼叫都通過這些賬戶。
更糟糕的是�����,這些呼叫幾乎難以被追蹤到�����。因此,攻擊者可以建立自動(dòng)化的信息系統(tǒng)�����,從而試圖竊取受害者的敏感信息——也就是被稱為vishing的攻擊行為���。這些呼叫可能會(huì)是一些要求收件人更新他們的銀行賬戶等詳細(xì)信息的文件。
而對(duì)于Google Voice來說�����,攻擊者甚至可以攔截或者窺探來電信息�。為了實(shí)現(xiàn)呼叫攔截,攻擊者會(huì)使用一種被稱為臨時(shí)呼叫轉(zhuǎn)移的功能來添加另外的號(hào)碼到賬戶中��,然后�����,再使用Asterisk等免費(fèi)軟件�����、趕在受害者聽到響鈴之前接聽電話。而通過按*鍵��,呼叫就會(huì)被轉(zhuǎn)給受害者�,讓攻擊者可以竊聽到整個(gè)通話過程。
欺騙呼叫來源
Secure Science研究員使用一種稱為“spoofcard”的在線服務(wù)創(chuàng)建的賬戶���,也能夠輕松被訪問到��。這種在線服務(wù)可以提供儼然有人打進(jìn)電話來的信息顯示服務(wù)�。
在過去�,Spoofcard被用來訪問語音郵件賬戶。最著名的一件事就是�����,三年前���,女演員林賽羅翰的黑莓手機(jī)賬號(hào)被侵入���,然后被攻擊者用來發(fā)送一些非法的郵件。
攻擊Goolge Voice 和Skype需要使用不同的技術(shù)�����,但基本上它們都會(huì)被攻破,因?yàn)樗鼈兲峁┑姆⻊?wù)和訪問語音系統(tǒng)都不需要密碼認(rèn)證��。
對(duì)于Skype的攻擊��,受害者在登錄Skype的時(shí)候�����,會(huì)被誘騙訪問惡意網(wǎng)站長達(dá)30分鐘��。在Google Voice攻擊中��,攻擊者首先需要知道受害者的電話號(hào)碼�,不過�,Secure Science已經(jīng)找到了使用Google Voice的短消息服務(wù)(SMS)來尋找電話號(hào)碼的方法。
谷歌地址缺陷
谷歌在一份聲明中說�,被Secure Science用來攻擊的漏洞,上周獲得了修復(fù)����,并且,對(duì)語音郵件系統(tǒng)增加了密碼認(rèn)證�����!拔覀円恢痹谂cSecure Science就其提出的問題進(jìn)行協(xié)調(diào)合作��,我們對(duì)系統(tǒng)也進(jìn)行了幾項(xiàng)重大的改進(jìn)���,”該公司表示���,“我們還沒有收到賬戶被報(bào)告中所描述的那樣被訪問的反饋,而這種被訪問的機(jī)會(huì)需要若干個(gè)條件同時(shí)得到滿足����。”
與此相比���,Skype的漏洞尚未得到修復(fù)�。而Skype的母公司易趣��, 也沒有對(duì)此立即發(fā)表任何評(píng)論��。
通過這些攻擊事件表明�����,將傳統(tǒng)的電話系統(tǒng)安全整合到更自由廣闊的互聯(lián)網(wǎng)世界,是相當(dāng)復(fù)雜的���。Secure Science創(chuàng)始人之一James表示�����,“這證明……VoIP被搞砸是多么的容易����,”他還認(rèn)為�,這些漏洞幾乎肯定會(huì)影響到其他的VoIP系統(tǒng)��!翱隙ㄟ有人懂得如何利用你的電話線������!
IT168
相關(guān)鏈接: