Эксперты нашли уязвимости в Интернет-телефонии // 17 Ноября 2012

Исследователи из компании Secure Science обнаружили уязвимости в сервисах голосовой Интернет-телефонии, которые позволяют выполнять звонки без ведома пользователя и перехватывать содержание разговоров.

Лэнс Джеймс (Lance James), один из основателей компании Secure Science, рассказал в своем блоге об успешных атаках на службы Skype и Google Voice. Оказалось, что эти популярные системы Интернет-телефонии на базе протокола VoIP (Voice over IP) можно взломать с использованием достаточно доступных методов. Например, для взлома учетной записи в службе Skype жертву нужно было заставить зайти на специальный вредоносный веб-сайт, при этом учетная запись должна быть активна в течение 30 минут. После захвата данных о нескольких учетных записях злоумышленник может использовать программную АТС для обзвона любых телефонных номеров и учетных записей. В рассылаемых голосовых сообщениях, которые практически невозможно отследить, злоумышленники могут использовать приемы так называемого «вишинга» (vishing), когда жертву заставляют позвонить на специальный номер, а там автоответчик просит сообщить закрытую или сугубо личную информацию по телефону.

Техника взлома службы Google Voice сильно отличается от взлома Skype, при этом позволяет даже перехватывать разговоры пользователей. Для демонстрации взлома эксперты использовали функцию временной постановки звонка на удержание (Temporary Call Forwarding), добавляли в учетную запись новый фальшивый телефонный номер, а затем использовали свободно распространяемый программный телефонный коммутатор типа Asterisk, чтобы ответить на звонок, пока жертва даже не видит входящего звонка. Затем с помощью символа переключения (*) звонок переводится на телефон жертвы, а злоумышленник может прослушивать переговоры. Для успешной атаки злоумышленнику сначала нужно узнать телефонный номер жертвы, но этот номер можно получить с помощью службы коротких текстовых сообщений Google Voice SMS.

Представители Secure Science рассказали, что обнаруженные уязвимости в Google Voice уже устранены, в частности, введено обязательное требование пароля для доступа к голосовой почте и службе коротких текстовых сообщений. Компания Skype пока не отреагировала на сообщения об уязвимостях.

Сообщения об уязвимости Интернет-телефонии и возможностях организации ботнет-сетей, рассылающих голосовой спам заставляют серьезно задуматься над безопасностью этого вида коммуникаций. Такие службы, как SpoofCard, уже сейчас позволяют подменять номер вызывающего абонента, так что вполне вероятна ситуация, когда на ваш IP-телефон поступит звонок якобы из вашего банка, а вы и не подумаете, что вам могут звонить злоумышленники.

Подробнее о взломе службы Skype можно прочитать в блоге компании Secure Science. Отчет об уязвимостях Google Voice можно загрузить в формате PDF также с сайта Secure Science.

Источник: PC World