I servizi VoIP sono vulnerabili ai botnet, i ricercatori di sicurezza dicono

I difetti dei sistemi di telefonia basati su Internet potrebbero essere sfruttati per creare una rete di account telefonici compromessi, un po 'come le botnet che hanno devastato i PC negli ultimi anni.

I ricercatori di Secure Science hanno recentemente scoperto modi per effettuare chiamate non autorizzate da Skype e dai nuovi sistemi di comunicazione di Google Voice, secondo Lance James, co-fondatore dell'azienda.

Intercettazione tramite IP

Un utente malintenzionato potrebbe accedere agli account utilizzando tecniche scoperte dai ricercatori, quindi utilizzare un programma PBX a basso costo (scambio di succursali private) per effettuare migliaia di chiamate tramite tali account.

Le chiamate sarebbero praticamente irrintracciabili, quindi gli hacker potrebbero creare confusione automatica invecchiando i sistemi per cercare di rubare informazioni sensibili dalle vittime, un attacco noto come vishing. Le chiamate potrebbero essere un messaggio registrato che chiede al destinatario di aggiornare i dettagli del conto bancario, ad esempio.

"Se rubo un sacco di [account Skype], posso configurare [un PBX] per arrotondare tutti quei numeri e posso creare una botnet virtuale Skype per effettuare chiamate in uscita, sarebbe un inferno su un phisher e sarebbe un attacco infernale per Skype ", ha detto James.

In Google Voice, l'hacker potrebbe anche intercettare o spiare per le chiamate in arrivo, ha detto James. Per intercettare una chiamata, l'utente malintenzionato utilizza una funzionalità chiamata Inoltro chiamate temporaneo per aggiungere un altro numero all'account, quindi utilizza software gratuito come Asterisk per rispondere alla chiamata prima che la vittima abbia mai sentito un anello. Premendo quindi il simbolo asterisco, la chiamata potrebbe quindi essere inoltrata al telefono della vittima, dando all'aggressore un modo per ascoltare la chiamata.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Spoofing Fonte di una chiamata

I ricercatori di Secure Science sono stati in grado di accedere agli account che avevano impostato utilizzando un servizio online chiamato spoofcard, che consente agli utenti di apparire come se stessero chiamando da qualsiasi numero desiderato.

È stata utilizzata la Spoofcard in passato per accedere agli account di voicemail. La cosa più famosa è stata la colpa quando tre anni fa l'account dell'attrice Lindsay Lohan è stato hackerato per inviare messaggi inappropriati.

Gli attacchi su Google Voice e Skype utilizzano tecniche diverse, ma essenzialmente entrambi funzionano perché nessuno dei due servizi richiede una password per accedere al suo sistema di posta vocale.

Affinché l'attacco Skype funzioni, la vittima dovrebbe essere indotta a visitare un sito Web dannoso entro 30 minuti dall'accesso a Skype. Nell'attacco a Google Voice (pdf), l'hacker dovrebbe prima conoscere il numero di telefono della vittima, ma Secure Science ha escogitato un modo per capirlo usando il servizio SMS (Short Message Service) di Google Voice.

Difetti degli indirizzi Google

Google ha corretto i bug che hanno consentito l'attacco di Secure Science la scorsa settimana e ha aggiunto un requisito per la password al suo sistema di posta vocale, ha detto la società in una nota. "Abbiamo lavorato in coordinamento con Secure Science per risolvere i problemi sollevati con Google Voice e abbiamo già apportato numerosi miglioramenti ai nostri sistemi", ha affermato la società. "Non abbiamo ricevuto alcuna segnalazione di account a cui si accede nel modo descritto nel report, e tale accesso richiederebbe un numero di condizioni per essere soddisfatte contemporaneamente."

I difetti di Skype non sono ancora stati corretti, secondo James. EBay, la casa madre di Skype, non ha risposto immediatamente a una richiesta di commento.

Gli attacchi mostrano quanto sia complicato integrare in modo sicuro il sistema telefonico della vecchia scuola nel mondo più libero di Internet, ha affermato James. "Questo tipo di prova … quanto sia facile il VoIP rovinare", ha detto. Crede che questo tipo di difetti incida quasi certamente anche su altri sistemi VoIP. "Ci sono persone là fuori che possono capire come toccare le linee telefoniche."