Botnet z kompromitovaných telefonních účtů VoIP

14. 4. 2009

Sdílet

Sítě z prolomených účtů v systémech internetové telefonie, jako je Skype nebo Google Voice, mohou být brzy stejně rozšířené jako botnety z kompromitovaných PC. V systémech pro IP telefonii totiž existuje celá řada zranitelností.

 Lance James, jeden ze zakladatelů společnosti Secure Science, uvedl pro americký Computerworld, že ve Skype i Google Voice objevili chyby, které útočníkům umožňují telefonovat z cizích účtů. Tuto činnost by šlo navíc automatizovat prostřednictvím levných ústředen PBX. Útoky budou navíc prakticky nevysledovatelné, takže útočníci mohou posléze zkoušet krást informace od volaných – technika známá jako vishing. Jádrem útoku může být například nahraná zpráva žádající uživatele, aby aktualizoval své bankovní údaje.

Každopádně prolomené účty budou fungovat jako „virtuální botnet“ a podvodníci si budou moci nastavit vlastní režim, jak z těchto účtů provádět telefonáty. James uvedl, že ve Skype je situace vážná, ale v Google Voice mohl útočník provádět ještě další triky navíc – například u kompromitovaných účtů zaznamenávat příchozí hovory. Stačilo by použít funkci Temporary Call Forwarding a převést hovor na nový účet a z něj přečíst nějakou automaticky nahranou odpověď dříve, než původní vlastník účtu vůbec zaznamená, že mu někdo volal. Pro tyto účely je k dispozici například zdarma dostupný software Asterix. Hovor by mohl být také přesměrován zpět vlastníkovi původního účtu a pak zaznamenán.

Útoky proti Skype a Google Voice se po technické stránce liší, ale oba vycházejí ze služby Spoofcard. Některé způsoby útoků vyžadují znát dopředu číslo oběti. Google na zjištění společnosti Secure Science zareagoval a do svého systému doplnil nutnost autorizovat se heslem. Google se ale současně každopádně vyjádřil, že pro úspěšný útok by musela být současně splněna řada podmínek a společnost nemá informace, že by takový útok v praxi vůbec kdy úspěšně proběhl.

ICTS24

James uvedl, že Skype (respektive eBay) naopak nijak nereagoval a zranitelnosti systému dosud nejsou opraveny. Každopádně situace podle něj ukazuje, že VoIP systémy mají svá rizika a převod klasických telefonních služeb do nebezpečného prostředí Internetu přinese ještě celou řadu problémů.