Kreativ hacker bruger telefonsvarer-funktion til at overtage Netflix-konto

Illustration: Virrage Images/Bigstock
En sikkerhedsforsker har påvist, hvordan det er mulig at få kontrol over Netflix-konti via en telefonsvarer.

It-sikkerhedskonsulenten David Wind har fundet ud af, at det har været muligt at overtage folks Netflix-konti via en telefonsvarer-funktion - under visse forudsætninger.

Det har han skrevet et indlæg om.

David Wind har kigget nærmere på en funktion i Netflix til nulstilling af kodeord. Det kan lade sig gøre via mail, sms eller via et automatiseret stemmeopkald til et angivet mobilnummer. Og det er i forhold til det sidste, Wind har fundet en svaghed.

Hos visse mobiloperatører er det nemlig muligt at få adgang til telefonsvareren alene baseret ud fra caller-id'et i et opkald. Det vil sige, at der ikke er nogen ekstra validering af, om opkaldet faktisk kommer fra en telefon, der har lov til at tilgå telefonsvareren.

Et caller-id er det navn eller nummer, der fremkommer på mobilskærmen ved et opkald. Og nogle VoiP-udbydere tilbyder muligheden for at sætte et vilkårligt caller-id, fortæller Wind i indlægget.

Ved at sætte caller-id'et er det, udover telefonfis og social engineering-angreb, muligt at få adgang til folks telefonsvare, såfremt ofrets teleudbyder er sårbar, forklarer Wind.

Det lader sig gøre ved at sætte caller-id'et til ofrets telefonnummer og så ringe til vedkommendes telefonsvare. Såfremt der ikke er sat password på telefonsvare-funktionen - det er der ofte ikke - og såfremt teleudbyderen er sårbar, så giver kaldet angriberen adgang til telefonsvareren.

David Wind, der er bosat Wien, har undersøgt hvordan det står til med denne form for angreb hos østrigske teleudbydere. Flere af dem er ikke sårbare, men hos en af de store udbydere, T-Mobile, er det ifølge Wind muligt at få adgang til en telefonsvarer alene ved at sætte caller-id'et, som matcher nummeret på indehaveren af en telefonsvarer.

Netflix-hack

Og det har sikkerhedsforskeren brugt til at demonstrere, hvordan en Netflix-konto kan overtages. Nogen har måske gættet det. Det foregår ved at tilgå glemt-kodeords-funktionen og bede Netflix sende en automatiseret stemmebesked til et offer. Og så sørger angriberen for, at offerets telefon går på telefonsvarer, når det automatiserede Netflix-kald kommer ind.

Det kan eksempelvis ske ved at give offeret et kald, så linjen er blokeret. Resultatet bliver, at Netflix-stemmekaldet indtaler informationerne, der skal bruges til kodeords-nulstilling, på telefonsvareren. Og den kan angriberen - såfremt teleudbyderen er sårbar - altså få adgang til ved at sætte caller-id'et til at være identisk med ofrets telefonnummer.

»Jeg rapporterede dette til Netflix via 'the responsible disclosure program', og jeg noterede, at de har et virkeligt godt og hurtigt svarende sikkerhedshold - det tog lidt længere at fikse problemet fordi de automatiserede telefonopkald, som Netflix anvender, bliver håndteret af en tredjepart,« fortæller Wind i indlægget.

Det rummer også en tidslinje, hvor det fremgår, at sikkerhedsforskeren gjorde Netflix opmærksom på sårbarheden første gang 26. september i år, og at problemet var løst 4. november.

Løsningen, som Netflix har valg, er iøvrigt, at brugeren skal trykke på en (virtuel) tast på telefonen i forbindelse med auto-opkaldet, før koden til password-nulstilling bliver læst op. På den måde bliver koden ikke automatisk dikteret til en telefonsvarer.

Sikkerhedsforskeren Shubham Shah har tidligere omtalt telefonsvarer-problematikken i forhold til at omgå 2-faktorautentifikation hos blandt andet LinkedIn og Google.

David Wind henviser i forbindelse med sit indlæg til to forslag fra Shubham Shah i forhold til at imødegå angrebsteknikken. Det ene er, som Netflix har gjort, at vente på, at brugeren trykker på en tast. Det andet er, at brugere bør sætte kodeord på deres telefonsvare, så det ikke er muligt at aflytte dem alene ved at spoofe et caller-id.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Schmidt Blogger

Hos visse mobiloperatører er det nemlig muligt at få adgang til telefonsvareren alene baseret ud fra caller-id'et i et opkald.

Utroligt at der stadig er mobiloperatører, der tillader det.

(tjekke tjekke)

Når jeg ringer til min telefonsvarer hos 3, skal jeg ikke taste pin-kode. Er min telefonsvarer så tilgængelig for alle, der kan spoofe et caller-ID, eller kan 3 spærre/detektere caller-ID-spoofing?

  • 3
  • 0
Log ind eller Opret konto for at kommentere