Бесплатно Экспресс-аудит сайта:

21.10.2014

Австралийский эксперт призвал проверить безопасность сервисов голосовой почты телекоммуникационных компаний

На прошедшей конференции Ruxcon австралийский эксперт Шубхам «Shubs» Шах (Shubham «Shubs» Shah) призвал американских и европейских коллег проверить безопасность сервисов голосовой почты компаний, предоставляющих телекоммуникационные услуги, сообщает The Register. Ранее специалист  обнаружил , что учетные записи региональных абонентов крупнейших операторов сотовой связи Vodafone и Optus уязвимы к хакерским атакам.

Сервисы визуальной голосовой почты обеих компаний оказались уязвимы из-за погрешностей в дизайне, которые не ограничивали количество попыток введения пароля.

Шах проинформировал руководство Optus и Vodafone о найденной уязвимости, однако не смог проверить безопасность сервисов телекоммуникационных компаний в Европе и США.

В июне этого года специалисты Vodafone реализовали функцию ограничения числа попыток введения пароля в сервисе визуальной голосовой почты, однако Шах обнаружил, что данная функция позволяла проведение DoS-атак, посредством которых злоумышленники могли заблокировать миллионы учетных записей пользователей.

Более того, некоторые австралийские провайдеры, имена которых Шах отказался раскрыть, автоматически создают учетные записи визуальной голосовой почты для миллионов своих абонентов без их согласия. При этом такие аккаунты зачастую защищены только базовым четырехзначным PIN-кодом.

Как отметил специалист, из-за причуд сетевой конфигурации, для того чтобы совершить атаку, злоумышленники, как правило, должны использовать ту же сеть что и жертва. Тогда преступники могут использовать подложные телефонные номера для получения доступа к учетной записи пользователя. Именно по этой причине специалисту не удалось определить степень уязвимости сервисов американских и европейских телекоммуникационных компаний к хакерским атакам.