La noticia se ha llenado recientemente con las acusaciones de que los empleados de Noticias del Mundo piratearon las bandejas de entrada de correo de voz de celebridades y víctimas de delitos. ¿Qué falla se explotó para lograr esto y cuál es el riesgo para otros usuarios de teléfonos celulares?
Según este artículo del New York Times, hubo un par de métodos utilizados.
El primero fue un simple ataque de adivinación de contraseña al probar el PIN predeterminado del operador, y el segundo método fue un ataque de ingeniería social contra el operador de red de telefonía móvil.
El ataque de adivinación de contraseña es fácil de mitigar simplemente cambiando el PIN predeterminado, los operadores principales del Reino Unido ya han establecido procedimientos para mitigar el segundo método de ataque
Naranja, Tres y T-Mobile ya no proporcionar códigos de paso de correo de voz predeterminados; Los usuarios deben establecer su propia cuenta. O2 y Vodafone permitirá establecer códigos. Solo desde los celulares que suministran. Si ese número se reinicia, el nuevo código También se envía directamente al teléfono. Vodafone alerta a los clientes si tres se hacen intentos fallidos para entrar en el número, y O2 bloquea el correo de voz servicios.
Este artículo explica un método que no implica adivinar o ingeniería social el PIN del correo de voz. Muchos operadores móviles parecen configurar el acceso al correo de voz para que no se requiera el PIN cuando el suscriptor llama desde su teléfono móvil. En estos casos, un atacante simplemente necesita falsificar la identificación de la persona que llama (para que la llamada parezca provenir del teléfono de la víctima) y llamar al número de acceso al correo de voz. La identificación falsa de la persona que llama puede realizarse utilizando algunos servicios de VoIP y por otros métodos.
Una contramedida contra este ataque es que el suscriptor configure su correo de voz para requerir el PIN en todos los casos, incluso cuando llama desde su propio teléfono.