Scan for all server - Hacker Kilwa Syrian root
Inhoudsopgave:
- Een aanvaller kan toegang krijgen tot accounts met behulp van technieken ontdekt door de onderzoekers, gebruik vervolgens een goedkoop PBX-programma (private branch exchange) om duizenden oproepen via die accounts te maken.
- Onderzoekers van de beveiligde wetenschap konden toegang krijgen tot accounts die ze hadden opgezet met behulp van een online-service genaamd spoofcard, waarmee gebruikers het kunnen laten lijken alsof ze bellen vanaf elk gewenst nummer.
- Google heeft de bugs die vorige week de aanval van Secure Science mogelijk maakten, gepatcht en een wachtwoordvereiste toegevoegd aan zijn voicemailsysteem, aldus het bedrijf in een verklaring. "We hebben gewerkt in samenwerking met Secure Science om de problemen aan te pakken die zij met Google Voice hebben opgeworpen, en we hebben al verschillende verbeteringen aangebracht aan onze systemen", aldus het bedrijf. "We hebben geen meldingen ontvangen van accounts waartoe toegang wordt verkregen op de manier beschreven in het rapport, en voor een dergelijke toegang zijn een aantal voorwaarden vereist waaraan gelijktijdig moet worden voldaan."
Afluisteren per IP
Een aanvaller kan toegang krijgen tot accounts met behulp van technieken ontdekt door de onderzoekers, gebruik vervolgens een goedkoop PBX-programma (private branch exchange) om duizenden oproepen via die accounts te maken.
De oproepen zijn vrijwel niet te traceren, dus aanvallers kunnen geautomatiseerde rommel opzetten verouderende systemen om te proberen en om gevoelige informatie van slachtoffers te stelen, een aanval die bekend staat als vishing. De oproepen kunnen een opgenomen bericht zijn waarin de ontvanger wordt gevraagd zijn bankrekeninggegevens bij te werken, bijvoorbeeld.
In Google Voice kon de aanvaller zelfs onderscheppen of snuffen bij inkomende oproepen, James zei. Om een oproep te onderscheppen, gebruikte de aanvaller een functie met de naam Tijdelijke doorschakeling om een ander nummer toe te voegen aan het account en gebruikte vervolgens gratis software zoals Asterisk om de oproep te beantwoorden voordat het slachtoffer ooit een belsignaal hoorde. Door op het sterretje te drukken, kan de oproep vervolgens worden doorgestuurd naar de telefoon van het slachtoffer, waardoor de aanvaller een manier krijgt om naar de oproep te luisteren.
[Lees meer: Hoe malware van uw Windows-pc te verwijderen]
Onderzoekers van de beveiligde wetenschap konden toegang krijgen tot accounts die ze hadden opgezet met behulp van een online-service genaamd spoofcard, waarmee gebruikers het kunnen laten lijken alsof ze bellen vanaf elk gewenst nummer.
Spoofcard is gebruikt in het verleden om toegang te krijgen tot voicemail-accounts. Het bekendste was dat het de schuld kreeg van het BlackBerry-account van actrice Lindsay Lohan drie jaar geleden werd gehackt en vervolgens werd gebruikt om ongepaste berichten te verzenden.
De aanvallen op Google Voice en Skype gebruiken verschillende technieken, maar in wezen werken beide omdat geen van beide services een wachtwoord vereist om toegang te krijgen tot zijn voicemailsysteem.
Om te zorgen dat de Skype-aanval werkt, moet het slachtoffer worden misleid om binnen 30 minuten na aanmelding bij Skype een kwaadwillende website te bezoeken. In de Google Voice-aanval (pdf) zou de hacker eerst het telefoonnummer van het slachtoffer moeten kennen, maar Secure Science heeft een manier bedacht om dit uit te zoeken met de Short Message Service (SMS) van Google Voice.
Google-adressen Gebreken
Google heeft de bugs die vorige week de aanval van Secure Science mogelijk maakten, gepatcht en een wachtwoordvereiste toegevoegd aan zijn voicemailsysteem, aldus het bedrijf in een verklaring. "We hebben gewerkt in samenwerking met Secure Science om de problemen aan te pakken die zij met Google Voice hebben opgeworpen, en we hebben al verschillende verbeteringen aangebracht aan onze systemen", aldus het bedrijf. "We hebben geen meldingen ontvangen van accounts waartoe toegang wordt verkregen op de manier beschreven in het rapport, en voor een dergelijke toegang zijn een aantal voorwaarden vereist waaraan gelijktijdig moet worden voldaan."
De Skype-fouten zijn nog niet gepatcht, volgens James. EBay, het moederbedrijf van Skype, reageerde niet onmiddellijk op een verzoek om commentaar.
De aanslagen laten zien hoe lastig het is om het old-school telefoonsysteem veilig te integreren in de meer free-wheeling wereld van internet, zei James. "Dit soort bewijst … hoe gemakkelijk VoIP is om het verkloot te krijgen," zei hij. Hij is van mening dat dit soort gebreken vrijwel zeker ook van invloed zijn op andere VoIP-systemen. "Er zijn mensen die erachter komen hoe je je telefoonlijnen kunt tikken."
Spotgoederen vinden Black Friday-deals
Flickr: Alamy
Bij SXSW kan marketing de volgende Twitter overstemmen <> Dit jaar zal South by Southwest Interactive gastheer zijn voor technische trends in uiteenlopende gebieden. gaming, kunstmatige intelligentie, 3D-printen en sociale netwerken, maar of de volgende Twitter op de conferentie zal verschijnen, is moeilijker te zeggen.
Een deel van de kwestie is dat de show, die vrijdag werd geopend, meer een marketing, schmoozing en fondsenwervende extravaganza is geworden dan een onder de aandacht gebracht lanceerplatform voor nieuwe technologieën, zei Allen Weiner, een analist bij Gartner.
Op Google I / O zeggen Glass-dragers 'vertrouw ons' wordt geconfronteerd met enkele moeilijke vragen van het Congres over de privacy bezorgdheid opgeworpen door Glass, zijn prille augmented reality-systeem voor het opnemen en ontvangen van on-the-fly informatie. Maar ter plaatse op de I / O-conferentie van het bedrijf voor ontwikkelaars, zijn de aanwezigen grotendeels enthousiast over de technologie.
Google wordt geconfronteerd met een aantal moeilijke vragen van het Congres over de privacykwesties van Glass, zijn nieuwe augmented reality-systeem voor opnemen en ontvangen informatie on the fly. Maar ter plaatse op de I / O-conferentie van het bedrijf voor ontwikkelaars, zijn de aanwezigen grotendeels enthousiast over de technologie.