研究發(fā)現(xiàn)VoIP服務易受僵尸網(wǎng)絡侵襲
彭海燕 2009/04/13
基于互聯(lián)網(wǎng)的電話系統(tǒng)中存在的漏洞�,可被黑客手機賬戶用來創(chuàng)建某個網(wǎng)絡���,這有點像過去幾年里�,受到破壞后的PC被用來搭建僵尸網(wǎng)絡��。
這可絕不是聳人聽聞����。Secure Science的研究員最近就發(fā)現(xiàn),可以未經(jīng)授權就獲得來自Skype和Google Voice的呼叫請求�。為了更清楚地說明這個問題,本文將從下面三個角度分別進行論述:
通過IP竊聽
使用研究人員發(fā)現(xiàn)的某種技術�����,攻擊者就可以獲取電話用戶賬號。然后�����,使用一種低成本的PBX(Private Branch eXchange���,用戶交換機)計劃,讓數(shù)以千計的電話呼叫都通過這些賬戶����。
更糟糕的是,這些呼叫幾乎難以被追蹤到�����。因此�����,攻擊者可以建立自動化的信息系統(tǒng)��,從而試圖竊取受害者的敏感信息——也就是被稱為vishing的攻擊行為�����。這些呼叫可能會是一些要求收件人更新他們的銀行賬戶等詳細信息的文件。
而對于Google Voice來說����,攻擊者甚至可以攔截或者窺探來電信息。為了實現(xiàn)呼叫攔截�,攻擊者會使用一種被稱為臨時呼叫轉(zhuǎn)移的功能來添加另外的號碼到賬戶中,然后��,再使用Asterisk等免費軟件�、趕在受害者聽到響鈴之前接聽電話。而通過按*鍵�����,呼叫就會被轉(zhuǎn)給受害者�����,讓攻擊者可以竊聽到整個通話過程��。
欺騙呼叫來源
Secure Science研究員使用一種稱為“spoofcard”的在線服務創(chuàng)建的賬戶���,也能夠輕松被訪問到���。這種在線服務可以提供儼然有人打進電話來的信息顯示服務��。
在過去��,Spoofcard被用來訪問語音郵件賬戶�。最著名的一件事就是���,三年前����,女演員林賽羅翰的黑莓手機賬號被侵入�����,然后被攻擊者用來發(fā)送一些非法的郵件���。
攻擊Goolge Voice 和Skype需要使用不同的技術,但基本上它們都會被攻破�����,因為它們提供的服務和訪問語音系統(tǒng)都不需要密碼認證��。
對于Skype的攻擊,受害者在登錄Skype的時候����,會被誘騙訪問惡意網(wǎng)站長達30分鐘。在Google Voice攻擊中����,攻擊者首先需要知道受害者的電話號碼,不過����,Secure Science已經(jīng)找到了使用Google Voice的短消息服務(SMS)來尋找電話號碼的方法。
谷歌地址缺陷
谷歌在一份聲明中說�����,被Secure Science用來攻擊的漏洞���,上周獲得了修復���,并且,對語音郵件系統(tǒng)增加了密碼認證�����!拔覀円恢痹谂cSecure Science就其提出的問題進行協(xié)調(diào)合作�����,我們對系統(tǒng)也進行了幾項重大的改進�,”該公司表示,“我們還沒有收到賬戶被報告中所描述的那樣被訪問的反饋���,而這種被訪問的機會需要若干個條件同時得到滿足���!
與此相比����,Skype的漏洞尚未得到修復����。而Skype的母公司易趣, 也沒有對此立即發(fā)表任何評論�。
通過這些攻擊事件表明,將傳統(tǒng)的電話系統(tǒng)安全整合到更自由廣闊的互聯(lián)網(wǎng)世界���,是相當復雜的�。Secure Science創(chuàng)始人之一James表示,“這證明……VoIP被搞砸是多么的容易����,”他還認為,這些漏洞幾乎肯定會影響到其他的VoIP系統(tǒng)�。“肯定還有人懂得如何利用你的電話線������!
IT168
相關鏈接: