Perkhidmatan VoIP Rentan untuk Botnets, Penyelidik Keselamatan Katakan

Penyelidik di Secure Science baru-baru ini mendapati cara-cara untuk membuat panggilan tidak sah dari Skype dan sistem komunikasi Google Voice yang baru, menurut Lance James, pengasas syarikat.

Eavesdropping by IP

Penyerang boleh mendapatkan akses ke akaun menggunakan teknik-teknik yang ditemui oleh penyelidik, kemudian gunakan program PBX (pertukaran cawangan swasta) kos rendah untuk membuat beribu-ribu panggilan melalui akaun tersebut.

Panggilan akan hampir tidak boleh dipercayai, jadi penyerang boleh menetapkan keadaan huru-hara yang automatik sistem penuaan untuk mencuba dan mencuri maklumat sensitif dari mangsa, serangan yang dikenali sebagai vishing.

"Jika saya mencuri sekumpulan [akaun Skype], saya boleh menyiapkan [PBX] untuk memutar semua nombor tersebut, dan saya boleh menubuhkan botnet Skype maya untuk membuat panggilan keluar.Ia akan menjadi neraka pada roda untuk pemancing dan ia akan menjadi neraka untuk serangan ke Skype, "kata James.

Di Google Voice, penyerang itu boleh walaupun memintas atau mengintip panggilan masuk, kata James. Untuk memintas panggilan, penyerang akan menggunakan ciri yang dipanggil Temporary Call Forwarding untuk menambah nombor lain ke akaun, kemudian gunakan perisian percuma seperti Asterisk untuk menjawab panggilan sebelum mangsa pernah mendengar cincin. Dengan kemudian menekan simbol bintang, panggilan itu kemudiannya akan diteruskan ke telefon mangsa, memberikan penyerang cara untuk mendengar panggilan.

[Bacaan lanjut: Cara menghapuskan malware dari PC Windows Anda]

Spoofing penyelidik Secure Science Call

Secure Science dapat mengakses akaun yang mereka sediakan dengan menggunakan perkhidmatan dalam talian yang disebut spoofcard, yang membolehkan pengguna membuatnya muncul seolah-olah mereka memanggil dari mana-mana nombor yang mereka inginkan.

Spoofcard telah digunakan pada masa lalu untuk mengakses akaun mel suara. Paling terkenal, ia dipersalahkan apabila aktres Lindsay Lohan dilancarkan tiga tahun lalu dan kemudian digunakan untuk menghantar mesej yang tidak sesuai.

Serangan pada Google Voice dan Skype menggunakan teknik yang berbeza, tetapi pada dasarnya kedua-duanya berfungsi kerana perkhidmatan tidak memerlukan kata laluan untuk mengakses sistem voicemailnya.

Untuk serangan Skype untuk berfungsi, mangsa perlu ditipu untuk melawat laman web yang berniat jahat dalam masa 30 minit selepas log masuk ke Skype. Dalam serangan Google Voice (pdf), peretas perlu terlebih dahulu mengetahui nombor telefon mangsa, tetapi Secure Science telah membuat satu cara untuk memikirkannya menggunakan Perkhidmatan Pesan Ringkas (SMS) Google Voice.

Kesilapan Alamat Google

Google menampal pepijat yang membolehkan serangan Secure Science minggu lalu dan telah menambah keperluan kata laluan kepada sistem mel suara, kata syarikat itu dalam satu kenyataan. "Kami telah bekerja dalam penyelarasan dengan Sains Selamat untuk menangani isu-isu yang dibangkitkan mereka dengan Google Voice, dan kami telah membuat beberapa penambahbaikan kepada sistem kami," kata syarikat itu. "Kami tidak menerima sebarang laporan tentang mana-mana akaun yang diakses mengikut cara yang dijelaskan dalam laporan itu, dan akses tersebut memerlukan beberapa syarat yang dapat dipenuhi secara serentak."

Skype kelemahan belum ditambal, menurut James. EBay, syarikat induk Skype, tidak segera memberi respons kepada permintaan untuk komen.

Serangan menunjukkan betapa sukarnya untuk mengintegrasikan sistem telefon sekolah lama ke dalam dunia yang lebih bebas dari Internet, kata James. "Semacam ini membuktikan … betapa mudahnya VoIP dapat dikompromi," katanya. Beliau percaya bahawa jenis kelemahan ini hampir pasti akan mempengaruhi sistem VoIP lain juga. "Terdapat orang di luar sana yang boleh memikirkan bagaimana untuk mengetuk talian telefon anda."