Martin Vigo, een Spaanse beveiligingsonderzoeker, heeft op Def Con in Las Vegas geautomatiseerde bruteforce-aanvallen op voicemails van Amerikaanse mobiele providers gedemonstreerd, waarmee hij bijvoorbeeld WhatsApp- en PayPal-accounts kon overnemen.

Vigo introduceerde zijn onderzoek door te stellen dat er sinds de jaren tachtig niet bijzonder veel is veranderd aan de beveiliging van voicemails. Zo zouden de vier grote Amerikaanse providers, Sprint, T-Mobile, Verizon en AT&T, nog steeds eenvoudige standaardpins voor hun voicemailsystemen gebruiken. Bijvoorbeeld de laatste vier cijfers van een telefoonnummer. Ook zou het vrij eenvoudig zijn om viercijferige pincodes te raden, doordat deze bijvoorbeeld vaak beginnen met 19 omdat de gebruiker een geboortejaar als pin instelt. Verder hebben de pincodes een lengte van maximaal tien cijfers, wat ze redelijk eenvoudig te bruteforcen maakt, aldus Vigo. Ten slotte is het mogelijk drie verschillende pincodes tegelijk in te voeren.

Om al deze bevindingen om te zetten in een aanval, maakte hij zijn eigen Python-script genaamd voicemailcracker. Zijn software maakt gebruik van de dienst Twilio om oproepen te doen, wat geen grote kosten met zich mee zou brengen. Zijn script is volledig geautomatiseerd en bevat payloads die zijn toegespitst op de vier providers. Daarnaast probeert de software op efficiënte wijze de pincode te bruteforcen, onder meer door veelgebruikte en standaardpincodes eerst in te voeren.

Een volgende stap is het zo snel mogelijk uitkomen bij de voicemail van het doelwit. Hij kwam erachter dat de providers allemaal nummers hebben waar iemand direct een voicemail voor elk gewenst nummer kan achterlaten. Via dat nummer is ook een login uit te voeren waarvoor de pin is vereist. Zo kan hij zijn aanval ongedetecteerd uitvoeren, claimt de onderzoeker. In een demo toonde hij dat zijn software er ongeveer 100 seconden over deed om 20 pincodes uit te proberen.

Brute Force

Reacties mogelijk gemaakt door CComment