最終的には、ささやかなボイスメールが私たちにすべてをもたらすことになるとは誰が想像したでしょうか。
Google、Microsoft、Apple、WhatsApp、さらには Signal のアカウントにはすべてアキレス腱があります。実際、同じものです。そして、注意しないと、ハッカーがその弱点を利用してオンライン ID を乗っ取る可能性があることが判明しました。
あるいは自称「セキュリティオタク」だと主張マーティン・ビーゴ。年次総会で熱心なハッカーやセキュリティ研究者の集まりに講演デフコンラスベガスでの大会で、ビーゴ氏は、セキュリティ チェーンの最も弱いリンクであるボイスメールを利用して、さまざまなオンライン アカウントのパスワードをリセットする方法を説明しました。
ご存知のように、彼は群衆に説明しました、WhatsApp のようなサービスでパスワードのリセットをリクエストする場合、メッセージを受け取るようリクエストするオプションがあります。電話リセットコード付き。電話に出られなかった場合、自動サービスがコードを含むメッセージを残します。
しかし、そうでなかったらどうなるでしょうかあなたパスワードをリセットしようとしていますが、ハッカーですか?そして、そのハッカーもあなたのボイスメールにアクセスできたらどうなるでしょうか?
問題は次のとおりです。Vigo は、電話の所有者に知られずに、ほとんどのボイスメール パスワードをほぼ簡単にブルートフォース攻撃できる自動スクリプトを作成しました。このアクセスにより、オンライン アカウントのパスワード リセット コードを取得でき、その結果、アカウント自体を制御できるようになります。
ビーゴ、私たち全員がおそらくボイスメールを無効にする必要があることを教えてください。 クレジット: Jack Morse/mashable
いいえ、2 要素認証ではハッカーによるパスワードのリセットを阻止できません。
マッシュ可能な光の速度
Vigo のスライドの 1 つは、攻撃の基本構造を示しています。
1. ブルートフォースボイスメールシステム(理想的にはバックドア番号を使用)
2. 通話がボイスメールに直接転送されるようにする (コール フラッディング、OSINT、HLR)
3.「Call me」機能を使用してパスワードのリセットプロセスを開始します
4. 秘密コードを含む録音されたメッセージを聞きます
5. 利益を得る!
彼がステージで演奏した録音デモでは、PayPal アカウントに対するこの攻撃のバリエーションが示されていました。
「3、2、1、ドーン、それで終わりです」とビーゴは聴衆の拍手に応えた。 「私たちはPayPalを侵害したところです。」
Vigo 氏は、影響を受ける企業に脆弱性を責任を持って開示したことに注意を払いましたが、多くの企業から満足のいく反応とは言えませんでした。彼は月曜日にコードの修正版を Github に投稿する予定です。
注目すべきは、研究者がコードが機能することを検証できるようにコードを変更しただけでなく、スクリプト小僧が左右にパスワードのリセットを開始できないようにするためにコードを変更したと私たちを安心させたことです。
では、この脅威の存在がわかった今、自分自身を守るために何ができるでしょうか?ありがたいことに、Vigo からいくつかの提案があります。
何よりもまず、ボイスメールを無効にしてください。何らかの理由でそれができない場合は、可能な限り長い PIN コードを使用してください。ランダム。次に、2FA のためにどうしても必要な場合を除き、オンライン サービスに電話番号を提供しないようにしてください。一般的に、使用してみてください認証アプリSMS ベースの 2FA 経由。
しかし、実際には、これらのオプションの中で最も効果的なのは、ボイスメールを完全にシャットダウンすることです。正直に言うと、あなたはおそらく、とにかくやる理由を探しているでしょう。言い訳を提供してくれたヴィーゴに感謝してもいいでしょう。