首頁(yè)>>>技術(shù)>>>VoIP

研究發(fā)現(xiàn)VoIP服務(wù)易受僵尸網(wǎng)絡(luò)侵襲

彭海燕 2009/04/13

  基于互聯(lián)網(wǎng)的電話系統(tǒng)中存在的漏洞,可被黑客手機(jī)賬戶用來(lái)創(chuàng)建某個(gè)網(wǎng)絡(luò),這有點(diǎn)像過(guò)去幾年里,受到破壞后的PC被用來(lái)搭建僵尸網(wǎng)絡(luò)。

  這可絕不是聳人聽聞。Secure Science的研究員最近就發(fā)現(xiàn),可以未經(jīng)授權(quán)就獲得來(lái)自Skype和Google Voice的呼叫請(qǐng)求。為了更清楚地說(shuō)明這個(gè)問(wèn)題,本文將從下面三個(gè)角度分別進(jìn)行論述:

  通過(guò)IP竊聽

  使用研究人員發(fā)現(xiàn)的某種技術(shù),攻擊者就可以獲取電話用戶賬號(hào)。然后,使用一種低成本的PBX(Private Branch eXchange,用戶交換機(jī))計(jì)劃,讓數(shù)以千計(jì)的電話呼叫都通過(guò)這些賬戶。

  更糟糕的是,這些呼叫幾乎難以被追蹤到。因此,攻擊者可以建立自動(dòng)化的信息系統(tǒng),從而試圖竊取受害者的敏感信息——也就是被稱為vishing的攻擊行為。這些呼叫可能會(huì)是一些要求收件人更新他們的銀行賬戶等詳細(xì)信息的文件。

  而對(duì)于Google Voice來(lái)說(shuō),攻擊者甚至可以攔截或者窺探來(lái)電信息。為了實(shí)現(xiàn)呼叫攔截,攻擊者會(huì)使用一種被稱為臨時(shí)呼叫轉(zhuǎn)移的功能來(lái)添加另外的號(hào)碼到賬戶中,然后,再使用Asterisk等免費(fèi)軟件、趕在受害者聽到響鈴之前接聽電話。而通過(guò)按*鍵,呼叫就會(huì)被轉(zhuǎn)給受害者,讓攻擊者可以竊聽到整個(gè)通話過(guò)程。

  欺騙呼叫來(lái)源

  Secure Science研究員使用一種稱為“spoofcard”的在線服務(wù)創(chuàng)建的賬戶,也能夠輕松被訪問(wèn)到。這種在線服務(wù)可以提供儼然有人打進(jìn)電話來(lái)的信息顯示服務(wù)。

  在過(guò)去,Spoofcard被用來(lái)訪問(wèn)語(yǔ)音郵件賬戶。最著名的一件事就是,三年前,女演員林賽羅翰的黑莓手機(jī)賬號(hào)被侵入,然后被攻擊者用來(lái)發(fā)送一些非法的郵件。

  攻擊Goolge Voice 和Skype需要使用不同的技術(shù),但基本上它們都會(huì)被攻破,因?yàn)樗鼈兲峁┑姆⻊?wù)和訪問(wèn)語(yǔ)音系統(tǒng)都不需要密碼認(rèn)證。

  對(duì)于Skype的攻擊,受害者在登錄Skype的時(shí)候,會(huì)被誘騙訪問(wèn)惡意網(wǎng)站長(zhǎng)達(dá)30分鐘。在Google Voice攻擊中,攻擊者首先需要知道受害者的電話號(hào)碼,不過(guò),Secure Science已經(jīng)找到了使用Google Voice的短消息服務(wù)(SMS)來(lái)尋找電話號(hào)碼的方法。

  谷歌地址缺陷

  谷歌在一份聲明中說(shuō),被Secure Science用來(lái)攻擊的漏洞,上周獲得了修復(fù),并且,對(duì)語(yǔ)音郵件系統(tǒng)增加了密碼認(rèn)證。“我們一直在與Secure Science就其提出的問(wèn)題進(jìn)行協(xié)調(diào)合作,我們對(duì)系統(tǒng)也進(jìn)行了幾項(xiàng)重大的改進(jìn),”該公司表示,“我們還沒(méi)有收到賬戶被報(bào)告中所描述的那樣被訪問(wèn)的反饋,而這種被訪問(wèn)的機(jī)會(huì)需要若干個(gè)條件同時(shí)得到滿足。”

  與此相比,Skype的漏洞尚未得到修復(fù)。而Skype的母公司易趣, 也沒(méi)有對(duì)此立即發(fā)表任何評(píng)論。

  通過(guò)這些攻擊事件表明,將傳統(tǒng)的電話系統(tǒng)安全整合到更自由廣闊的互聯(lián)網(wǎng)世界,是相當(dāng)復(fù)雜的。Secure Science創(chuàng)始人之一James表示,“這證明……VoIP被搞砸是多么的容易,”他還認(rèn)為,這些漏洞幾乎肯定會(huì)影響到其他的VoIP系統(tǒng)。“肯定還有人懂得如何利用你的電話線。”

IT168


相關(guān)鏈接:
中國(guó)企業(yè)通信市場(chǎng)發(fā)展現(xiàn)狀趨勢(shì)分析 2009-04-08
英國(guó)政府將對(duì)國(guó)內(nèi)每一封電子郵件和IP通話進(jìn)行監(jiān)控 2009-04-07
微軟即將在華重磅推出小型企業(yè)精睿電話系統(tǒng) 2009-04-07
T-Mobile稱將阻止iPhone用戶使用Skype 2009-04-03
大唐高鴻智能路由網(wǎng)關(guān)又添新產(chǎn)品MG3000-A-1S1O 2009-04-02
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 金溪县| 乃东县| 丰宁| 淮北市| 丰顺县| 秦安县| 保亭| 长岭县| 宜兰市| 龙州县| 大丰市| 石嘴山市| 凤冈县| 景东| 成都市| 集贤县| 冕宁县| 和林格尔县| 舞钢市| 白河县| 屏南县| 山东省| 九江县| 樟树市| 浠水县| 弥渡县| 静宁县| 夹江县| 油尖旺区| 方正县| 江都市| 嘉义市| 余庆县| 分宜县| 陈巴尔虎旗| 屏山县| 阳新县| 舞阳县| 枣强县| 江城| 黄浦区| http://444 http://444 http://444 http://444 http://444 http://444