| 研究发现VoIP服务易受僵尸网络侵袭 |
| 作者:冰盾防火墙 网站:www.bingdun.com 日期:2009-04-14 |
| |
基于互联网的电话系统中存在的漏洞,可被黑客手机账户用来创建某个网络,这有点像过去几年里,受到破坏后的PC被用来搭建僵尸网络。
这可绝不是耸人听闻。Secure Science的研究员最近就发现,可以未经授权就获得来自Skype和Google Voice的呼叫请求。为了更清楚地说明这个问题,本文将从下面三个角度分别进行论述:
通过IP窃听
使用研究人员发现的某种技术,攻击者就可以获取电话用户账号。然后,使用一种低成本的PBX(Private Branch eXchange,用户交换机)计划,让数以千计的电话呼叫都通过这些账户。
更糟糕的是,这些呼叫几乎难以被追踪到。因此,攻击者可以建立自动化的信息系统,从而试图窃取受害者的敏感信息——也就是被称为vishing的攻击行为。这些呼叫可能会是一些要求收件人更新他们的银行账户等详细信息的文件。
而对于Google Voice来说,攻击者甚至可以拦截或者窥探来电信息。为了实现呼叫拦截,攻击者会使用一种被称为临时呼叫转移的功能来添加另外的号码到账户中,然后,再使用Asterisk等免费软件、赶在受害者听到响铃之前接听电话。而通过按*键,呼叫就会被转给受害者,让攻击者可以窃听到整个通话过程。
欺骗呼叫来源
Secure Science研究员使用一种称为“spoofcard”的在线服务创建的账户,也能够轻松被访问到。这种在线服务可以提供俨然有人打进电话来的信息显示服务。
在过去,Spoofcard被用来访问语音邮件账户。最著名的一件事就是,三年前,女演员林赛罗翰的黑莓手机账号被侵入,然后被攻击者用来发送一些非法的邮件。
攻击Goolge Voice 和Skype需要使用不同的技术,但基本上它们都会被攻破,因为它们提供的服务和访问语音系统都不需要密码认证。
对于Skype的攻击,受害者在登录Skype的时候,会被诱骗访问恶意网站长达30分钟。在Google Voice攻击中,攻击者首先需要知道受害者的电话号码,不过,Secure Science已经找到了使用Google Voice的短消息服务(SMS)来寻找电话号码的方法。
谷歌地址缺陷
谷歌在一份声明中说,被Secure Science用来攻击的漏洞,上周获得了修复,并且,对语音邮件系统增加了密码认证。“我们一直在与Secure Science就其提出的问题进行协调合作,我们对系统也进行了几项重大的改进,”该公司表示,“我们还没有收到账户被报告中所描述的那样被访问的反馈,而这种被访问的机会需要若干个条件同时得到满足。”
与此相比,Skype的漏洞尚未得到修复。而Skype的母公司易趣, 也没有对此立即发表任何评论。
通过这些攻击事件表明,将传统的电话系统安全整合到更自由广阔的互联网世界,是相当复杂的。Secure Science创始人之一James表示,“这证明……VoIP被搞砸是多么的容易,”他还认为,这些漏洞几乎肯定会影响到其他的VoIP系统。“肯定还有人懂得如何利用你的电话线。”
|
| |
|
| |
|
京ICP备14024464 公安备案号 京1081234