wechatimg5

语音信箱系统漏洞允许攻击者拦截验证码、获取信箱内容

  • 浏览次数 10778
  • 喜欢 0
  • 评分 12345

InTheCyber -情报 & 防护顾问(www.inthecyber.com)是攻防网络安全的领导者,其研发实验室发现一个新的危险漏洞可影响通信系统。
语音信箱来电显示欺诈是一种存在很久的漏洞,移动运营商会依据来电显示验证用户的身份允许其进入语言邮箱。攻击者可以伪造来电显示,冒充用户并获得语音信箱访问权。目前,意大利最大的两个移动运营商都遭受这种攻击
当登录某些应用(如 Telegram、WhatsApp 和 Signal )时会请求发送一个验证码短信,如果不及时输入验证码,国外通信服务会通过自动调用功能重新发送验证码至语音信箱。
根据用户的语音信箱的配置,在以下几种情况中,验证码会被发送到语音信箱:用户不回应、用户不可及和用户被占用。第一种场景,攻击者可以在夜间利用受害者的帐户请求一个验证码。第二种场景,攻击者可以向用户发送多个静默短信( Silent-SMS ),判断电话是否断网离开通信网络,然后进行攻击。第三种场景,攻击者可以通过电话诈骗来保持电话占线。
除了,主叫来电显示欺诈,语音邮箱还可以通过 PIN 密码用其他设备登录。
如果你启用了重发未收到短信到语音信箱的通信业务,并且没有启用双因素身份验证,那么你很可能会受到这种欺诈攻击,导致账户被非法登录。

稿源:本站翻译整理,封面来源:百度搜索