即时通讯服务 Telegram 在周末发布了修复程序，以防止黑客滥用语音邮件账户、获得对其它用户账户的访问权限。过去几个月，巴西的千余名 Telegram 用户一直在受到所谓的“语音信箱黑客劫持”事件的困扰。受害者中甚至包括了一些当地的政客，比如巴西总统 Jair Bolsonaro、司法部长 Sergio Moro、以及经济部长 Paulo Guedes 。 Play 应用商店截图（via ZDNet） 那么，黑客又是如何攻破 Telegram 账户防线的呢？据悉，问题出在将 Telegram 账户添加到新设备的过程。 用户可以请求通过语音消息呼叫，将短信验证码发送到账户所有者的手机上。如果用户三次未能接听电话、或忙于应答另一通电话，则该密码会被发送到用户指定运营商的语音信箱账户。 然后，黑客会利用 VoIP 服务来伪装自己，忽悠出受害者的电话号码、使用默认的 0000 或 1234 密码（大多数用户并不会更改）来访问语音信箱，以获取 Telegram 的登录密码。 如此一来，攻击者就获得了在新设备上添加 Telegram 账户的一次性密码。之后，攻击者可劫持合法账户来发送垃圾邮件，或者挖掘巴西政客的消息历史。 庆幸的是，Telegram 在周末推出了一个修复程序，能够阻止这方面的攻击得逞。该公司发言人在接受 ZDNet 采访时称： “若您的账户启用了两步验证，就只能通过账户绑定的号码来获取”。 Telegram 证实，该修复程序已面向所有 Telegram 用户推出，因为受影响的不仅仅是巴西当地的用户。 自 2017 年以来，这一攻击已经被许多人所知晓。此前，同样的招数还在 WhatsApp 身上发生过。 之后，安全研究人员证实同样的漏洞可被用于劫持 Facebook、谷歌、Twitter、WordPress、eBay 或 PayPal 等服务。   （稿源：cnBeta，封面源自网络。）

InTheCyber -情报 & 防护顾问（www.inthecyber.com）是攻防网络安全的领导者，其研发实验室发现一个新的危险漏洞可影响通信系统。 语音信箱来电显示欺诈是一种存在很久的漏洞，移动运营商会依据来电显示验证用户的身份允许其进入语言邮箱。攻击者可以伪造来电显示，冒充用户并获得语音信箱访问权。目前，意大利最大的两个移动运营商都遭受这种攻击。 当登录某些应用（如 Telegram、WhatsApp 和 Signal ）时会请求发送一个验证码短信，如果不及时输入验证码，国外通信服务会通过自动调用功能重新发送验证码至语音信箱。 根据用户的语音信箱的配置，在以下几种情况中，验证码会被发送到语音信箱:用户不回应、用户不可及和用户被占用。第一种场景，攻击者可以在夜间利用受害者的帐户请求一个验证码。第二种场景，攻击者可以向用户发送多个静默短信（ Silent-SMS ），判断电话是否断网离开通信网络，然后进行攻击。第三种场景，攻击者可以通过电话诈骗来保持电话占线。 除了，主叫来电显示欺诈，语音邮箱还可以通过 PIN 密码用其他设备登录。 如果你启用了重发未收到短信到语音信箱的通信业务，并且没有启用双因素身份验证，那么你很可能会受到这种欺诈攻击，导致账户被非法登录。 稿源：本站翻译整理，封面来源：百度搜索