回归最本质的信息安全

InTheCyber在手机信息收发系统上发现严重漏洞

2016年10月25日发布

3,896
0
0

导语:InTheCyber 是当前世界上在网络安全方面的领导者,近日其研发实验室发现了一个新的漏洞,该漏洞非常简单但却可以影响到当前所有的消息收发系统,因此十分危险。

InTheCyber 是当前世界上在网络安全方面的领导者,近日其研发实验室发现了一个新的漏洞,该漏洞非常简单但却可以影响到当前所有的消息收发系统,因此十分危险。

来电显示欺骗其实是一个非常古老的缺陷,移动运营商往往是通过来电显示来进行语音通话的身份验证,而攻击者则可以通过伪造一个来电显示来访问他的语音信箱。目前已知意大利的两大移动运营商仍然支持此类攻击。

而这无疑会使得用户的通信安全存在严重问题,尤其是语音信箱存储的信息。值得一提的是这一缺陷可以与其他的服务相结合进行更为深入的利用。

劫持用户验证码

例如,Telegram, WhatsApp, 以及Signal在进行注册或者登陆时往往需要一个短信验证码,而如果用户没有及时的输入验证码,它们就会重新进行发送。而根据用户手机信箱的不同设置,验证码在其中会有以下三种不同的场景:用户未回应、用户是不可到达的、用户是占线的。在第一个场景中,攻击者可以尝试在夜间使用受害者的账户去获得一个短信验证码;在第二个场景中,攻击者则可以向用户发送多个Silent-SMS给用户,使其电话脱离网络然后开始进行攻击;第三种场景下则可以用电话诈骗在攻击期间保持电话忙碌状态。

除此之外,来电显示欺骗通常还会被用于在语音信箱服进行错误登陆或验证一个用户的登入注销,例如,当他试图从另一部手机来访问语音信箱时。

总的来说,如果语音信箱是由未经授权的人进行访问,并且所有服务都没有启用双因素身份验证其就可以通过自动调用hijackable来发送一个验证码,进而进行更为高级的攻击。

本文翻译于securityaffairs,如若转载,请注明来源于嘶吼: http://www.4hou.com/vulnerable/1481.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论