21/08/2018

Przechwytywanie kont internetowych poprzez skrzynkę głosową

Zagrożenia

Kto jeszcze używa skrzynki głosowej? Wydawałoby się, że nikt. Okazuje się jednak, że nie do końca jest to prawdą. Rzeczywiście takich osób nie jest wiele, chociaż możliwe, że część z nich zwyczajnie zapomniała o tej usłudze.

To, że nie korzystasz ze skrzynki głosowej, nie oznacza, że dotyczy to wszystkich. W swoim raporcie pt. „Compromising online accounts by cracking voicemail systems” zaprezentowanym podczas konferencji DEF CON 26 badacz ds. bezpieczeństwa Martin Vigo udowodnił, że skrzynka głosowa może być przydatna dla kogoś, kto szuka sposobu na zhakowanie cudzych kont online.

Większość operatorów zezwala na dostęp do skrzynki głosowej nie tylko z poziomu telefonu jej właściciela, ale także przy użyciu innego numeru telefonu — w takim przypadku dostęp jest chroniony kodem PIN. Jednak kody PIN dla skrzynek pocztowych są często dalekie od bezpiecznych. Wielu subskrybentów używa kodów domyślnych ustawionych przez operatora — zwykle są to cztery ostatnie cyfry numeru telefonu lub popularny ciąg cyfr typu 1111 czy 1234.

Co więcej, nawet jest użytkownik zmieni kod PIN, istnieje duże prawdopodobieństwo, że można go odgadnąć: jak pokazało kolejne badanie, podczas wymyślania kodów PIN ludzie są mniej kreatywni niż w przypadku haseł.

Po pierwsze, kod PIN zwykle składa się z czterech cyfr — nawet jeśli technicznie możliwe jest ustawienie dłuższego. Po drugie, wielu użytkowników wybiera łatwe do zapamiętania ciągi czterech identycznych cyfr lub takie kombinacje jak 1234, 9876, 2580 (środkowy rząd ułożony pionowo na klawiaturze) itp. Bardzo popularne są również kody PIN rozpoczynające się od 19xx. Mając takie informacje, znacznie szybciej i łatwiej można włamać się do czyjejś skrzynki głosowej.

Nie trzeba sprawdzać wszystkich kombinacji ręcznie — może to wykonać skrypt, który dzwoni na numer skrzynki głosowej i wprowadza różne kombinacje w trybie tonowym. Inaczej mówiąc, atak siłowy na skrzynkę jest nie tylko możliwy, ale również nie wymaga zastosowania zbyt wielu zasobów. Ktoś może powiedzieć, że nie ma na swojej skrzynce nic ciekawego…

Jak zhakować konta w serwisie PayPal i WhatsApp za pośrednictwem skrzynki głosowej

Podczas resetowania hasła wiele najpopularniejszych serwisów internetowych oferuje między innymi wykonanie telefonu na numer podany w profilu użytkownika i wprowadzenie kodu weryfikującego.

Zadanie atakującego polega na odgadnięciu kodu PIN ustawionego do skrzynki głosowej i poczekanie, aż telefon ofiary zostanie wyłączony lub zgubi zasięg (lub np. zostanie przełączony w tryb samolotowy). Wówczas musi on zainicjować procedurę resetowania hasła w usłudze online, a jako opcję weryfikacji musi wybrać metodę polegającą na wykonaniu połączenia, które trafi bezpośrednio na skrzynkę.

Martin Vigo zademonstrował, jak można użyć tej metody do przechwycenia konta w aplikacji WhatsApp.

Niektóre zasoby internetowe stosują nieco inny proces weryfikacji: serwis wybiera numer telefonu skojarzony z danym kontem i wymaga od użytkownika wprowadzenia cyfr wyświetlonych na stronie służącej do resetowania hasła. Jednak można to ominąć przy użyciu prostego triku: ustawienia, aby wiadomość powitalna w skrzynce nagrywała tony klawiatury odpowiadające cyfrom w kodzie resetowania.

Jednym z serwisów używających tego systemu weryfikacyjnego jest PayPal. Martin Vigo z powodzeniem go pokonał:

Powyżej opisaliśmy tylko kilka przykładów z wielu. Tak naprawdę znacznie więcej serwisów używa automatycznego połączenia głosowego wykonywanego na skojarzony numer telefonu w celu zweryfikowania żądania resetowania hasła lub w celu przesyłania jednorazowego kodu do autoryzacji dwuetapowej.

Jak ochronić się przed włamaniem na skrzynkę głosową

Ogólnie warto rozważyć wyłączenie skrzynki głosowej. Jeśli jednak nie chcesz tego robić:

  • Używaj bezpiecznego kodu PIN. Na pewno musi się on składać z więcej niż czterech cyfr. Im więcej, tym lepiej. Ponadto kombinacja cyfr powinna być trudna do odgadnięcia, a najlepiej losowa.
  • Nie podawaj bezkrytycznie swojego numeru telefonu, z którym połączone są Twoje konta internetowe. Im trudniej jest znaleźć Cię w internecie po danym numerze telefonu, tym lepiej.
  • Jeśli nie musisz, staraj się w ogóle nie podawać swojego numeru telefonu w serwisach online lub włącz opcję dwuetapowej weryfikacji.
  • Korzystaj z uwierzytelniania dwuetapowego — najlepszą aplikacją jest tutaj Google Authenticator lub takie urządzenie jak YubiKey.