Automatyczna sekretarka zdradza sekrety

Automatyczna sekretarka? Lata 80. się skończyły. Tymczasem przeglądając prezentacje z zakończonego niedawno Chaos Communication Congress, natrafiłem na Compromising online accounts by cracking voicemail systems skupione na usłudze automatycznej sekretarki. Jak się okazuje, ktoś ich jeszcze używa. Co prawda, nie jako samodzielnych urządzeń (choć i to się zdarza), ale jako usługi poczty głosowej oferowanej przez operatora telefonii komórkowej.

Czym jest voicemail
W dużym skrócie: jeśli wasz telefon będzie poza siecią lub zajęty, dzwoniący do was może zostawić nagranie, do którego macie później dostęp. By je odsłuchać z dowolnego telefonu, można zadzwonić na numer wskazany przez waszego operatora, podać swój numer telefonu i hasło… i już.

Jakie hasło?? Ja niczego nie ustawiałem!
Nie szkodzi. W dawnych czasach działały domyślne hasła. Jak wynika z prezentacji na CCC, w wielu krajach nadal tak jest. Przykładowo, AT&T „zabezpiecza” klientów sześcioma jedynkami, T-Mobile – czterema ostatnimi cyframi numeru telefonu, zaś o2 wykorzystuje pin 8705.

We współczesnej Polsce jest lepiej – szybki przegląd ofert polskich operatorów GSM pokazuje, że przy pierwszym połączeniu z pocztą głosową musimy ustawić hasło, ewentualne jest ono losowane i wysyłane do nas w momencie uruchomienia usługi. Nie wiem niestety, jak to jest z numerami aktywnymi od lat – jeśli ktoś z Czytelników korzysta z poczty głosowej od 20 lat na tym samym numerze, niech się podzieli swoją wiedza.

Sami ustawiamy hasło, to jesteśmy bezpieczni?
Prawo nagłówków Betteridge’a mówi, że jeśli w nagłówku występuje pytanie, to odpowiedź brzmi NIE. I tak jest tym razem. Może i użytkownicy poczty ustawiają hasła samodzielnie, ale rzadko popisują się przy tym oryginalnością:
Popularne PINy. Zrodlo: http://www.datagenetics.com/blog/september32012/ (źródło: http://www.datagenetics.com/blog/september32012/)

Z pobieżnej analizy wynika, że jeśli naszym PINem nie jest 8068, to nie jesteśmy zbyt bezpieczni 😉

Co więcej, nawet gdyby PINy były równo rozłożone i każdy miał jednakowe prawdopodobieństwo użycia, ograniczona liczba możliwych kombinacji cyfr, w połączeniu z niską ceną połączeń telefonicznych, możliwością oskryptowania i słabymi zabezpieczeniami ze strony wielu operatorów powodują, że hasło da się zgadnąć stosunkowo szybko kosztem nieprzekraczającym kilku dolarów.

Na przykład tak:

No dobra, ale co z tego?
Cóż, jak się okazuje, całkiem sporo serwisów internetowych korzysta z potwierdzania tożsamości przy pomocy telefonu. Pół biedy, jeśli wykorzystuje do tego wyłącznie autoryzację SMS – podatną na ataki typu sim-swapping czy przechwycenie sztucznym SMSem. Te wymagają od potencjalnego włamywacza jakiegokolwiek działania. Problem polega na tym, że włamywacz może:

  1. zorientować się, kiedy telefon ofiary przerzuca połączenia na pocztę głosową (zwykle: kiedy jest poza siecią, wyłączony lub (czasem) zajęty);
  2. odkryć PIN do poczty głosowej ofiary, skrócić „powitanie” do minimum;
  3. spowodować przerzucenie rozmów na pocztę głosową (np. dzwoniąc do ofiary i w ten sposób blokując jej numer, gdy ma włączone „przekieruj gdy zajęty”) lub sprawdzić, kiedy będzie w samolocie (pozdrawiamy wszystkich chwalących się podróżami na facebooku);
  4. poprosić serwis typu Google, PayPal, LinkedIn, Signal (!), WhatsApp czy iCloud o to, by zweryfikowały nas [lub przeprowadziły dwuskładnikowe uwierzytelnianie] dzwoniąc do ofiary i podając jej hasło;
  5. po minucie połączyć się z pocztą głosową i odsłuchać nagrane tam hasło;
  6. zalogować się jako ofiara.

Ups? Jak się bronić
Zdaję sobie sprawę, że nie każdy może sobie pozwolić na wyłączenie poczty głosowej. Jeśli należysz do tej kategorii, koniecznie ustaw pin na najdłuższy, jak to możliwe (i niech to nie będzie ciąg jedynek ani data urodzenia). Dodatkowo warto zainwestować w osobny numer telefonu (najlepiej wirtualny – niepodatny na sim swapping) do weryfikacji w różnych usługach. Choć bezpieczniej jest nie podawać nigdzie swojego numeru jako mechanizmu weryfikacji, lecz ograniczyć się do aplikacji typu Google Authenticator lub (jeszcze lepiej) klucza sprzętowego. Tak – nie wszędzie jest to możliwe.

Źródła:

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →

2 Comments on “Automatyczna sekretarka zdradza sekrety”

    1. Fajnie, cieszę się, że Ci się spodobał. Zapraszam po więcej [i do podsyłania znajomym informacji o Rębaczach] 🙂

Comments are closed.