Nueva vulnerabilidad facilmente explotable y peligroso que afecta a los sistemas de mensajería descubierta por investigadores de la firma InTheCyber
El correo de voz identificador de llamada suplantación de identidad es un defecto bastante antiguo. Cuando el operador de telefonía móvil se basa en identificador de llamada para autenticar al usuario dentro de su buzón de voz, un atacante podría falsificar su identificador de llamada con el fin de suplantar al usuario y obtener acceso a su buzón de voz. Por el momento, dos de los mayores operadores de telefonía móvil permiten este tipo de ataque.
Por ejemplo, Telegrama, WhatsApp, y signal, cuando se solicita un código de activación, arrancan hacia adelante con un SMS el código de activación. Si el código no se introduce rápidamente, estos servicios vuelven a enviar el código de activación a través de una llamada automatizada.
Dependiendo de la configuración del correo de voz del usuario, el código de autenticación será dentro de su buzón de voz en los siguientes escenarios: el usuario no responde, el usuario no es accesible, el usuario está ocupado. En el primer escenario (el usuario no responde), un atacante podría intentar pedir un código de activación utilizando la cuenta de la víctima durante la noche. En el segundo escenario (el usuario no es accesible), un atacante podría enviar múltiples Silent-SMS para el usuario con el fin de determinar cuando el teléfono se separa de la red e iniciar el ataque. En la tercera (el usuario está ocupado), una estafa telefónica podría ser utilizado durante el ataque para mantener el teléfono ocupado.
En el segundo escenario, un atacante podría enviar múltiples Silent-SMS para el usuario con el fin de determinar cuando el teléfono se separa de la red e iniciar el ataque. En la tercera, una estafa telefónica podría ser utilizado durante el ataque para mantener el teléfono ocupado.
Además de suplantación de identificador de llamada a menudo los servicios de correo de voz se basan en nivel normal o un alfiler de adivinar para autenticar a un usuario, por ejemplo, cuando se trata de acceder a su correo de voz desde otro número de teléfono.
Básicamente, si el correo de voz de alguna manera es accesible por una persona no autorizada, y si está habilitada ninguna autenticación de dos actores, cada servicio que se basa en una llamada automatizada para enviar un código de activación es hijackable.
Fecha actualización el 2016-10-24. Fecha publicación el 2016-10-24. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio