שירותי VoIP הם פגיעים ל- Botnets, חוקרי אבטחה אומרים פגמים ב- Skype וב- Google Voice מאפשרים בקלות למפיצים לעשות PBX 'botnet' "ו ליירט או להקשיב על שיחות.

חוקרים ב- Secure Science גילו לאחרונה דרכים לבצע שיחות לא מורשות הן מסקייפ והן ממערכות התקשורת החדשות של Google Voice, על פי לאנס ג'יימס, חברת המייסדים של החברה.

ציתות לפי IP

תוקף יכול לגשת לחשבונות באמצעות טכניקות שהתגלו על ידי החוקרים, ולאחר מכן להשתמש בתוכנית PBX בעלות נמוכה (חילופי סניף פרטי) כדי לבצע אלפי שיחות באמצעות חשבונות אלה.

שיחות יהיה כמעט בלתי ניתנים לאיתור, כך התוקפים יכולים להקים בלגן אוטומטי מערכות ההזדקנות כדי לנסות לגנוב מידע רגיש מן הקורבנות, התקפה המכונה vishing. ייתכן שהשיחות הן הודעה מוקלטת המבקשת מהנמען לעדכן את פרטי חשבון הבנק שלו, לדוגמה.

"אם אני גונב חבורה של [חשבונות סקייפ], אני יכול להגדיר [PBX] כדי לעגל את כל המספרים האלה, ואני יכול להקים סקייפ וירטואלי כדי לבצע שיחות יוצאות, זה יהיה גיהנום על גלגלים עבור פישר וזה יהיה התקף של לעזאזל עבור סקייפ ", אמר ג 'יימס.

ב- Google Voice, התוקף יכול אפילו ליירט או לחטט על שיחות נכנסות, אמר ג 'יימס. כדי ליירט שיחה, התוקף ישתמש בתכונה שנקראת העברת שיחות זמניות כדי להוסיף מספר נוסף לחשבון, ולאחר מכן השתמש בתוכנה חופשית כגון כוכבית כדי לענות לשיחה לפני שהקורבן שמע אי פעם צלצול. על ידי לחיצה על סמל הכוכב, ניתן להעביר את השיחה אל הטלפון של הקורבן, ולתת לתוקף דרך להאזין לשיחה.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

זיוף מקור של שיחה

חוקרים מאובטח הצליחו לגשת לחשבונות שהם הקימו באמצעות שירות מקוון שנקרא spoofcard, המאפשר למשתמשים להפוך אותו נראה כאילו הם מתקשרים מכל מספר שהם רוצים.

Spoofcard שימש בעבר כדי לגשת חשבונות דואר קולי. הכי מפורסם, זה היה blamed כאשר שחקנית BlackBerry של לינדזי לוהן היה פריצה לפני שלוש שנים ולאחר מכן השתמשו כדי לשלוח הודעות לא הולמות.

ההתקפות על Google Voice ו- Skype משתמשים בטכניקות שונות, אבל למעשה שניהם עובדים כי אף שירות לא דורש סיסמה כדי לגשת למערכת הדואר הקולי שלה.

כדי שהתקפת Skype תפעל, הקורבן יצטרך להטעות אותו בביקור באתר אינטרנט זדוני בתוך 30 דקות מלהיכנס לסקייפ. בהתקפה של Google Voice (pdf), האקר היה צריך לדעת תחילה את מספר הטלפון של הקורבן, אך Secure Science פיתחה דרך להבין זאת באמצעות שירות ההודעות הקצרות של Google Voice (SMS).

פגמים של Google Address

גוגל תוקנה את הבאגים שאיפשרו את ההתקפה של Science Secure בשבוע שעבר והוסיפה דרישת סיסמה למערכת הדואר הקולי שלה, כך מסרה החברה. "אנו פועלים בתיאום עם Science Secure כדי לטפל בבעיות שהעלו עם Google Voice, וכבר ביצענו מספר שיפורים במערכות שלנו", אמרה החברה. "לא קיבלנו דיווחים על גישה של כל חשבונות באופן המתואר בדו"ח, וגישה כזו תחייב מספר תנאים להתקיים בו זמנית".

ליקויי Skype עדיין לא תוקנו, על פי ג'יימס. אייבי, חברת האם של סקייפ, לא הגיבה מיד לבקשה להערה.

ההתקפות מראות כמה קשה יהיה לשלב את מערכת הטלפון הישן בבית הספר באופן בטוח יותר לעולם האינטרנט החופשי יותר של האינטרנט, אמר ג'יימס. "זה סוג של מוכיח … כמה קל VoIP הוא לפשל," הוא אמר. הוא מאמין כי סוגים אלה של פגמים כמעט בוודאות להשפיע על מערכות VoIP אחרים גם כן. "יש שם אנשים שיכולים להבין איך לנצל את קווי הטלפון שלך"