InTheCyber公司的研究人员发现了一种新的简单的可利用的和危险的漏洞影响消息传递系统。
InTheCyber情报和国防顾问( www.inthecyber.com ),是攻防网络安全的领导者,发现在其研发实验室一个新的简单而危险的漏洞影响消息传递系统。
语音信箱到来电显示诈骗是一种存在了很长时间的缺陷。 当用户想要进入自己的语音信箱时,移动运营商会依靠来电显示验证用户的身份,而攻击者可以通过伪造来电显示,从而冒充用户的身份,并访问他的语音信箱。目前,意大利最大的两家移动运营商仍无法阻止这类攻击的发生。
这无疑提高通信的隐私问题,尤其是语音信箱内存储的信息。 此外,如果拿这种缺陷作为攻击的武器,其他的通信服务也可能会受到影响。。
例如, 电报 , WhatsApp , 信号 来说,当请求发送一个激活码的时候,它们会发来一条包含激活码的短信,如果验证码没有被及时输入,这些服务会通过自动调用重新发送激活码。
根据用户的语音信箱的配置,在以下几种情况中,验证码会被发到他的语音信箱内:用户不回应、用户不可及和用户被占用。为了让第一种情况出现,攻击者可以在夜间利用受害者的帐户,试着请求一个激活码。要让第二种情况出现,攻击者可以向用户发送多个静默短信(Silent-SMS),判断电话时是否已经断开网络,然后开始进行攻击。为了让第三种情况出现,攻击者在攻击期间,可以通过电话诈骗来保持电话被占用。
在第一个场景中,攻击者可以尝试问一个激活码在夜间使用受害者的帐户。 在第二个场景中,攻击者可以向用户发送多个Silent-SMS为了确定电话时脱离网络,开始攻击。 第三,可以用电话诈骗攻击期间保持电话忙。
在第二个场景中,攻击者可以向用户发送多个Silent-SMS为了确定电话时脱离网络,开始攻击。 第三,可以用电话诈骗攻击期间保持电话忙。
当用户试图用另一个电话号码来访问自己的语音信箱时,语音信箱服务通常会用默认的或可推测的pin码来验证用户。
所以,如果你的语音信箱可以被未经授权的人访问,并且没有启用双因素身份验证,那么,你使用的每一种依靠自动调用发送激活码的服务都可能受到攻击。
下面一段视频PoC的黑客
关于作者: 保罗Lezzi
