Viszonylag egyszerű módszerekkel feltörhetők a T-Mobile-előfizetők hangpostafiókjai, ismerte be a cég csütörtökön.
Egy a drótnélküli adatátviteli biztonsággal foglalkozó vállalat, a Flexilis szerint a nem is új keletű módszer segítségével könnyűszerrel átvehető az irányítás az áldozat mobiltelefonjának üzenetrögzítő rendszere fölött, így az idegenek hangüzeneteit nemcsak meghallgatni lehet, de akár törölni is, az akcióhoz pedig elég ismerni a célkészülék számát.
Az O'Really Network egyik cikkéhez hozzászóló olvasó el is magyarázza, hogyan működik a trükk. A T-Mobile menürendszere lehetővé teszi, hogy a telefonáló jelszó megadása nélkül is hozzáférjen hangpostafiókjához, ha a hívást saját mobiltelefonjáról kezdeményezi. Ez azért lehetséges, mert a T-Mobile, de sok más telefontársaság sem kér alaphelyzetben jelszót a hangpostafiók meghallgatásához. Elég tehát a hackervilágban jól ismert spoofingot (átverés, megtévesztés) alkalmazni, és a telefon kimenő számát úgy meghamisítani, hogy azt a mobilcég üzenetrögzítő rendszere a tulajdonos telefonjaként azonosítsa - innen pedig nyitva minden kapu.
Már pénzért is hamisítják a kimenő számot
A Flexilis szakértői szerint mindez könnyen elvégezhető akár egy nyilvános telefonkészülékről is, akkor pedig szinte lehetetlen az elkövető nyomára bukkanni. Az amerikai T-Mobile szóvivője elismerte a problémát, ugyanakkor kijelentette: a hívókat azonosító rendszer (caller ID) becsapása ellen az a legjobb módszer, ha a telefontulajdonos jelszóval védi a hangpostafiókjához való hozzáférést. A Flexilis is azt tanácsolja a mobilozóknak, hogy mielőtt használni kezdenék telefonjukat, mindenképpen élesítsék a jelszavas védelmet, hacsak nem szeretnék, hogy illetéktelenek turkáljanak hangpostafiókjukban.
A caller ID spoofing egyébként a hackervilágban mindennapos trükknek számít - a 2600 című hackermagazin régóta sorozatban közli a cikkeket a különböző technikákról. Az internet tele van olyan szájtokkal, amelyek közzéteszik a különböző "dobozok" (pl. orange box, silver box) házilagos elkészítésének leírását. Ezek a dobozok már kifinomult trükkökre is képesek: használatukkal például tetszőleges üzenetet lehet megjeleníteni a hívóazonosító készülékeken. A technika olyannyira elterjedt, hogy már üzleti célú felhasználására is sor került: a tavaly nyáron indult star38.com pénzért bárkinek szívesen meghamisítja kimenő telefonszámát.
Az Index megkereste a T-Mobile Magyarországot is. A cég a következő közleményt juttatta el szerkesztőségünkbe: "A T-Mobile Magyarország szerint ez az eset és még jónéhány hasonló példa szerte a világban jól mutatja, hogy a távközlési, informatikai rendszerek és szolgáltatók ki vannak téve ehhez hasonló támadásoknak. Éppen ezért a T-Mobile Magyarország folyamatosan figyeli rendszereit és a legújabb biztonsági megoldásokat alkalmazza, illetve azokat rendszeresen updateli."
Kövesse az Indexet Facebookon is!
Követem!
