InTerCyber公司在消息系統(tǒng)中發(fā)現(xiàn)了一個嚴(yán)重的漏洞

yh-security 2016-10-31 10:11:56 漏洞播報 0個評論

本文參考來源：securityaffairs，F(xiàn)B小編Alpha_h4ck編譯

來源：FreeBuf.COM

根據(jù)國外媒體的最新報道，信息安全公司InTheCyber的安全研究專家發(fā)現(xiàn)了一個嚴(yán)重的漏洞，這個漏洞或可影響消息系統(tǒng)的安全性。需要注意的是，這個漏洞的利用方法并不難，攻擊者可以輕易地利用這個漏洞來對用戶進(jìn)行攻擊。安全研究人員表示，Telegram、WhatsApp、以及Signal都將會受到這個漏洞的影響。

14772967739759

眾所周知，語音信箱的來電顯示模塊一直都存在漏洞。用戶需要根據(jù)來電顯示的號碼來識別語音信箱中的信息，而攻擊者可以利用這個漏洞來偽造自己的來電顯示號碼，并以此來進(jìn)行下一步的攻擊活動，最終獲取到目標(biāo)用戶語音信箱的訪問權(quán)。目前為止，意大利最大的兩家移動運營商目前仍然沒有修復(fù)這個問題。

現(xiàn)在，越來越多的人會在語音信箱中保存一些重要的數(shù)據(jù)。所以毫無疑問，這樣的問題肯定會引起人們對通信隱私安全性方面的擔(dān)憂。更加重要的是，攻擊者甚至還可以利用這個漏洞來入侵用戶其他的服務(wù)。

比如說像Telegram、WhatsApp、以及Signal這樣的聊天軟件，當(dāng)用戶請求獲取驗證碼之后，系統(tǒng)會通過短信的方式將驗證碼發(fā)送至用戶的手機(jī)中。如果用戶沒有及時輸入驗證碼的話，系統(tǒng)會通過自動語音電話來重新向用戶發(fā)送驗證碼。

根據(jù)用戶對語音信箱的不同配置，驗證碼會在下面這三種狀態(tài)下被保存至語音信箱內(nèi)：用戶無響應(yīng)、用戶無服務(wù)、以及用戶正忙。在第一種場景下，攻擊者可以在大半夜使用目標(biāo)用戶的賬號來嘗試請求獲取驗證碼。在第二種場景下，攻擊者可以通過向目標(biāo)用戶發(fā)送大量的靜默短信來確定目標(biāo)用戶的手機(jī)是否有信號。在第三種場景中，攻擊者可以在攻擊過程中不斷地向目標(biāo)用戶撥打垃圾電話，這樣就可以讓目標(biāo)的手機(jī)保持正忙狀態(tài)了。

14772968197729