خدمات VoIP معرضة للخطر من Botnets ، ويقول الباحثون الأمنيون

يمكن استغلال العيوب في أنظمة الاتصال الهاتفي الشائعة عبر الإنترنت لإنشاء شبكة من حسابات الهاتف التي تم الاستيلاء عليها ، إلى حد ما مثل شبكات الإنترنت التي تعيث فسادا مع أجهزة الكمبيوتر الشخصية في السنوات القليلة الماضية.

اكتشف باحثون في العلوم الآمنة مؤخرًا طرقًا لإجراء مكالمات غير مصرح بها من كل من Skype وأنظمة الاتصالات الجديدة في Google Voice ، وفقًا لما ذكره لانس جيمس ، مؤسس الشركة.

التنقّل بواسطة IP

يمكن للمهاجم الوصول إلى الحسابات باستخدام التقنيات التي اكتشفها الباحثون ، ثم استخدم برنامج PBX (تبادل الفروع الخاصة) منخفض التكلفة لإجراء آلاف المكالمات الهاتفية من خلال هذه الحسابات.

ستكون المكالمات غير قابلة للملاحقة ، بحيث يمكن للمهاجمين إعداد فوضى آلية أنظمة الشيخوخة لمحاولة سرقة معلومات حساسة من الضحايا ، هجوم يعرف باسم التزوير. قد تكون المكالمات عبارة عن رسالة مسجلة تطلب من المستلم تحديث تفاصيل حسابه البنكي ، على سبيل المثال.

"إذا سرقت مجموعة من [حسابات Skype] ، يمكنني إعداد [PBX] لاستعراض جميع تلك الأرقام "يمكن أن أقوم بإعداد botnet سكايب افتراضية لإجراء مكالمات صادرة. سيكون الجحيم على عجلات المخادع وسيكون جحيم للهجوم على سكايب" ، وقال جيمس.

في جوجل صوت ، يمكن للمهاجم حتى اعتراض أو تلقي تطورات المكالمات الواردة ، قال جيمس. لاعتراض مكالمة ، سيستخدم المهاجم ميزة تسمى "إعادة توجيه المكالمات المؤقتة" لإضافة رقم آخر إلى الحساب ، ثم استخدام برنامج مجاني مثل العلامة النجمية للرد على المكالمة قبل أن يسمع الضحية خاتمًا. عند الضغط على رمز النجمة ، يمكن إعادة توجيه المكالمة إلى هاتف الضحية ، مما يمنح المهاجم وسيلة للاستماع على المكالمة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

الانتحال مصدر للنداء

تمكن باحثو العلوم الآمنة من الوصول إلى حسابات قاموا بإعدادها باستخدام خدمة عبر الإنترنت تدعى spoofcard ، والتي تتيح للمستخدمين جعلها تبدو وكأنهم يتصلون من أي رقم يرغبون فيه.

تم استخدام Spoofcard في الماضي للوصول إلى حسابات البريد الصوتي. الأكثر شهرة ، تم إلقاء اللوم عليه عندما تم اختراق حساب بلاك بيري للممثلة ليندسي لوهان قبل ثلاث سنوات ثم استخدمته لإرسال رسائل غير لائقة.

تستخدم الهجمات على Google Voice و Skype تقنيات مختلفة ، ولكنهما يعملان أساسًا لأن الخدمة لا تتطلب كلمة مرور للوصول إلى نظام البريد الصوتي الخاص به.

لكي يعمل هجوم Skype ، يجب أن يتم خداع الضحية لزيارة موقع ويب ضار في غضون 30 دقيقة من تسجيل الدخول إلى Skype. في هجوم Google Voice (pdf) ، سيحتاج الهاكر أولاً إلى معرفة رقم هاتف الضحية ، إلا أن Secure Science قد ابتكرت طريقة لمعرفة ذلك باستخدام خدمة الرسائل القصيرة من Google Voice (SMS).

Google Addresses Flaws

صرحت الشركة في بيان أن جوجل قامت بتصحيح الأخطاء التي مكنت هجوم شركة ساينس ساينس الأسبوع الماضي وأضفت شرطًا لكلمة المرور إلى نظام البريد الصوتي الخاص بها. وقالت الشركة "نعمل بالتنسيق مع شركة ساينس ساينس لمعالجة القضايا التي أثارتها مع جوجل فويس ، وقد قمنا بالفعل بإجراء العديد من التحسينات على أنظمتنا". "لم نتلق أي تقارير عن أي حسابات يتم الوصول إليها بالطريقة الموضحة في التقرير ، وهذا الوصول يتطلب عددًا من الشروط في نفس الوقت."

لم يتم تصحيح عيوب Skype حتى الآن ، وفقًا لجيمس. ولم تجب شركة EBay ، الشركة الأم لشركة Skype ، على الفور على طلب للتعليق.

توضح الهجمات كيف سيكون من الصعب دمج نظام الهاتف المدرسي القديم بشكل آمن في عالم الإنترنت الأكثر حرية ، بحسب جيمس. وقال "هذا يثبت … مدى سهولة نقل الصوت عبر بروتوكول الانترنت". ويعتقد أن هذه الأنواع من العيوب تؤثر بشكل شبه مؤكد على أنظمة VoIP الأخرى أيضًا. "هناك أشخاص في الخارج يمكنهم معرفة كيفية النقر على خطوط الهاتف."