Ha sido desarrollada la prueba de concepto de un exploit para hackear múltiples servicios en línea
Acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, los sistemas de buzón de voz (voicemailing) son altamente vulnerables a los ataques de fuerza bruta contra su principal medida de seguridad, los cuatro dígitos del número de identificación personal (PIN) que poseen. Según reportes de múltiples expertos, un actor malicioso podría acceder a un sistema de correo de voz para tomar control de servicios como WhatsApp, LinkedIn, Netflix o PayPal.
El experto en ciberseguridad y seguridad de móviles Martin Vigo presentó recientemente una investigación en la que afirma que el PIN que protege estos servicios de voicemailing es mucho más fácil de descifrar que una contraseña tradicional, lo que puede conducir al hackeo de cuentas de diferentes servicios.
“Las llamadas telefónicas automatizadas son usadas comúnmente para usar funciones como restablecimiento de contraseñas, verificación de cuentas, entre otras. Un hacker podría comprometer estas funciones, explotando algunas antiguas debilidades de programación con herramientas actualizadas e intervenir en el correo de voz de un usuario”.
El experto en ciberseguridad recurrió al uso de algunas técnicas sencillas de hackeo de llamadas telefónicas, esta vez aplicadas al hackeo de un servicio de voicemailing. Una vez que un servicio ha sido comprometido, los hackers pueden comenzar a escuchar los mensajes que la víctima utiliza para restablecer una contraseña. Los hackers incluso podrían inferir el PIN del usuario si éste lo teclea en su dispositivo.
Vigo escribió una secuencia de comandos automatizada capaz de vulnerar la mayoría de los PIN de cuatro dígitos utilizados por los sistemas voicemailing sin el conocimiento de las víctimas. El investigador publicó el código de su prueba de concepto de su Voicemailcracker en GitHub (omitiendo la función de fuerza bruta), esperando ayudar para la corrección de esta clase de puntos débiles.
Al llevar a cabo una demostración, Vigo demostró cómo un sistema voicemailing funciona igual con la función de fuerza bruta activada, comprobando que podía acceder a servicios como PayPal o WhatsApp, que cuentan con un sistema de verificación de PIN.
“Voicemailcracker usa Twilio, un servicio de Voice Over Internet Protocol que permite administrar las llamadas telefónicas mediante programación. Voicemailcracker lanza cientos de llamadas telefónicas al mismo tiempo para interactuar con los sistemas voicemailing y usar fuerza bruta contra el PIN, todo esto sin el conocimiento de la víctima”, concluyó el experto.
El investigador también reveló otros posibles vectores de ataque, como un backdoor al sistema de voicemailing, con lo que se elimina la necesidad de realizar las llamadas, ataque que requiere una mínima interacción de la víctima.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad