Automatyczna sekretarka? Lata 80. się skończyły. Tymczasem przeglądając prezentacje z zakończonego niedawno Chaos Communication Congress, natrafiłem na Compromising online accounts by cracking voicemail systems skupione na usłudze automatycznej sekretarki. Jak się okazuje, ktoś ich jeszcze używa. Co prawda, nie jako samodzielnych urządzeń (choć i to się zdarza), ale jako usługi poczty głosowej oferowanej przez operatora telefonii komórkowej.
Czym jest voicemail
W dużym skrócie: jeśli wasz telefon będzie poza siecią lub zajęty, dzwoniący do was może zostawić nagranie, do którego macie później dostęp. By je odsłuchać z dowolnego telefonu, można zadzwonić na numer wskazany przez waszego operatora, podać swój numer telefonu i hasło… i już.
Jakie hasło?? Ja niczego nie ustawiałem!
Nie szkodzi. W dawnych czasach działały domyślne hasła. Jak wynika z prezentacji na CCC, w wielu krajach nadal tak jest. Przykładowo, AT&T „zabezpiecza” klientów sześcioma jedynkami, T-Mobile – czterema ostatnimi cyframi numeru telefonu, zaś o2 wykorzystuje pin 8705.
We współczesnej Polsce jest lepiej – szybki przegląd ofert polskich operatorów GSM pokazuje, że przy pierwszym połączeniu z pocztą głosową musimy ustawić hasło, ewentualne jest ono losowane i wysyłane do nas w momencie uruchomienia usługi. Nie wiem niestety, jak to jest z numerami aktywnymi od lat – jeśli ktoś z Czytelników korzysta z poczty głosowej od 20 lat na tym samym numerze, niech się podzieli swoją wiedza.
Sami ustawiamy hasło, to jesteśmy bezpieczni?
Prawo nagłówków Betteridge’a mówi, że jeśli w nagłówku występuje pytanie, to odpowiedź brzmi NIE. I tak jest tym razem. Może i użytkownicy poczty ustawiają hasła samodzielnie, ale rzadko popisują się przy tym oryginalnością:
(źródło: http://www.datagenetics.com/blog/september32012/)
Z pobieżnej analizy wynika, że jeśli naszym PINem nie jest 8068, to nie jesteśmy zbyt bezpieczni 😉
Co więcej, nawet gdyby PINy były równo rozłożone i każdy miał jednakowe prawdopodobieństwo użycia, ograniczona liczba możliwych kombinacji cyfr, w połączeniu z niską ceną połączeń telefonicznych, możliwością oskryptowania i słabymi zabezpieczeniami ze strony wielu operatorów powodują, że hasło da się zgadnąć stosunkowo szybko kosztem nieprzekraczającym kilku dolarów.
Na przykład tak:
No dobra, ale co z tego?
Cóż, jak się okazuje, całkiem sporo serwisów internetowych korzysta z potwierdzania tożsamości przy pomocy telefonu. Pół biedy, jeśli wykorzystuje do tego wyłącznie autoryzację SMS – podatną na ataki typu sim-swapping czy przechwycenie sztucznym SMSem. Te wymagają od potencjalnego włamywacza jakiegokolwiek działania. Problem polega na tym, że włamywacz może:
- zorientować się, kiedy telefon ofiary przerzuca połączenia na pocztę głosową (zwykle: kiedy jest poza siecią, wyłączony lub (czasem) zajęty);
- odkryć PIN do poczty głosowej ofiary, skrócić „powitanie” do minimum;
- spowodować przerzucenie rozmów na pocztę głosową (np. dzwoniąc do ofiary i w ten sposób blokując jej numer, gdy ma włączone „przekieruj gdy zajęty”) lub sprawdzić, kiedy będzie w samolocie (pozdrawiamy wszystkich chwalących się podróżami na facebooku);
- poprosić serwis typu Google, PayPal, LinkedIn, Signal (!), WhatsApp czy iCloud o to, by zweryfikowały nas [lub przeprowadziły dwuskładnikowe uwierzytelnianie] dzwoniąc do ofiary i podając jej hasło;
- po minucie połączyć się z pocztą głosową i odsłuchać nagrane tam hasło;
- zalogować się jako ofiara.
Ups? Jak się bronić
Zdaję sobie sprawę, że nie każdy może sobie pozwolić na wyłączenie poczty głosowej. Jeśli należysz do tej kategorii, koniecznie ustaw pin na najdłuższy, jak to możliwe (i niech to nie będzie ciąg jedynek ani data urodzenia). Dodatkowo warto zainwestować w osobny numer telefonu (najlepiej wirtualny – niepodatny na sim swapping) do weryfikacji w różnych usługach. Choć bezpieczniej jest nie podawać nigdzie swojego numeru jako mechanizmu weryfikacji, lecz ograniczyć się do aplikacji typu Google Authenticator lub (jeszcze lepiej) klucza sprzętowego. Tak – nie wszędzie jest to możliwe.
Źródła:
- media.ccc.de – zapis z grudniowego CCC
- uproszczona wersja voicemail automatora (bez modułu łamania haseł)
- strona autora prezentacji wraz z materiałami wideo
Bardzo fajne artykuły, czekam na wiecej 🙂
Fajnie, cieszę się, że Ci się spodobał. Zapraszam po więcej [i do podsyłania znajomym informacji o Rębaczach] 🙂