نمایش هک صندوق پست صوتی در کنفرانس C3
مارتین ویگو (Martin Vigo)، متخصص امنیت موبایل، در سی و پنجمین کنفرانس فناوری C3 نشان داد که سیستمهای پست صوتی تا چه میزان آسیبپذیر هستند.
مارتین ویگو (Martin Vigo)، متخصص امنیت موبایل، در سی و پنجمین کنفرانس فناوری C3 نشان داد که سیستمهای پست صوتی تا چه میزان آسیبپذیر هستند. |
در روشی که مارتین ارائه میدهد، برای ورود به یک صندوق پست صوتی باید حالات مختلف گذرواژه (PIN) آزمایش شوند (آزمون جامع یا brute force attack). برای این کار او یک کد پایتون توسعه داده است که به طور اتوماتیک PINهای مختلف را پشت سر هم امتحان میکند. سرویس تلفن Twilio امکان ارتباط با سیستم پست صوتی از طریق برنامهنویسی را فراهم میکند. البته شمارهگیری مستلزم هزینه است، اما امتحان همه حالات PIN چهار رقمی کمتر از 40 دلار هزینه دارد.
|
عکس: threatpost
|
هک اکانتهای سایر سرویسها |
در بعضی وبسایتها و سرویسها اگر گذرواژه خود را فراموش کنید، میتوانید شماره تلفن خود را وارد کنید و درخواست تعویض گذرواژه را بدهید. سپس یک کد به شما پیامک میشود که با وارد کردن آن، اجازه تغییر گذرواژه به شما داده میشود. بعضی از سرویسها این امکان را دارند که به جای پیامک، کد را با تماس تلفنی برای شما بخوانند. |
اگر یک یک هکر بتواند صندوق صوتی شما را هک کند، میتواند با استفاده از این ویژگی گذرواژه اکانت شما را در سرویسهای دیگر تغییر دهد. البته هکر باید طوری این کار را انجام دهد که گذرواژه مستقیما به صندوق صوتی ارسال شود. برای این کار وی میتواند چندین تماس صوتی همزمان با شما برقرار کند تا خط اشغال شود و در نتیجه پیام به صندوق صوتی منتقل شود. |
بعضی سرویسها که از این مشکل آگاه هستند، پس از تماس از شما میخواهند دکمه خاصی را فشار دهید تا کد را برایتان بخوانند. در این صورت اگر پیام به صندوق صوتی منتقل شده باشد، کد قرائت نمیشود. اما این راهکار نیز قابل دور زدن است! در صندوقهای صوتی این امکان وجود دارد که وقتی برای تماس گیرنده یک پیام خوش آمد خودکار پخش شود. کافی است به جای پیام خوش آمدید، یک تن DTMF قرار داده شود که متناظر است با دکمهای که باید فشرده شود. |
|
منابع: |
https://media.ccc.de/v/35c3-9383-compromising_online_accounts_by_cracking_voicemail_systems#t=1704 |