It-sikkerhedskonsulenten David Wind har fundet ud af, at det har været muligt at overtage folks Netflix-konti via en telefonsvarer-funktion - under visse forudsætninger.
Det har han skrevet et indlæg om.
David Wind har kigget nærmere på en funktion i Netflix til nulstilling af kodeord. Det kan lade sig gøre via mail, sms eller via et automatiseret stemmeopkald til et angivet mobilnummer. Og det er i forhold til det sidste, Wind har fundet en svaghed.
Hos visse mobiloperatører er det nemlig muligt at få adgang til telefonsvareren alene baseret ud fra caller-id'et i et opkald. Det vil sige, at der ikke er nogen ekstra validering af, om opkaldet faktisk kommer fra en telefon, der har lov til at tilgå telefonsvareren.
Et caller-id er det navn eller nummer, der fremkommer på mobilskærmen ved et opkald. Og nogle VoiP-udbydere tilbyder muligheden for at sætte et vilkårligt caller-id, fortæller Wind i indlægget.
Ved at sætte caller-id'et er det, udover telefonfis og social engineering-angreb, muligt at få adgang til folks telefonsvare, såfremt ofrets teleudbyder er sårbar, forklarer Wind.
Det lader sig gøre ved at sætte caller-id'et til ofrets telefonnummer og så ringe til vedkommendes telefonsvare. Såfremt der ikke er sat password på telefonsvare-funktionen - det er der ofte ikke - og såfremt teleudbyderen er sårbar, så giver kaldet angriberen adgang til telefonsvareren.
David Wind, der er bosat Wien, har undersøgt hvordan det står til med denne form for angreb hos østrigske teleudbydere. Flere af dem er ikke sårbare, men hos en af de store udbydere, T-Mobile, er det ifølge Wind muligt at få adgang til en telefonsvarer alene ved at sætte caller-id'et, som matcher nummeret på indehaveren af en telefonsvarer.
Netflix-hack
Og det har sikkerhedsforskeren brugt til at demonstrere, hvordan en Netflix-konto kan overtages. Nogen har måske gættet det. Det foregår ved at tilgå glemt-kodeords-funktionen og bede Netflix sende en automatiseret stemmebesked til et offer. Og så sørger angriberen for, at offerets telefon går på telefonsvarer, når det automatiserede Netflix-kald kommer ind.
Det kan eksempelvis ske ved at give offeret et kald, så linjen er blokeret. Resultatet bliver, at Netflix-stemmekaldet indtaler informationerne, der skal bruges til kodeords-nulstilling, på telefonsvareren. Og den kan angriberen - såfremt teleudbyderen er sårbar - altså få adgang til ved at sætte caller-id'et til at være identisk med ofrets telefonnummer.
»Jeg rapporterede dette til Netflix via 'the responsible disclosure program', og jeg noterede, at de har et virkeligt godt og hurtigt svarende sikkerhedshold - det tog lidt længere at fikse problemet fordi de automatiserede telefonopkald, som Netflix anvender, bliver håndteret af en tredjepart,« fortæller Wind i indlægget.
Det rummer også en tidslinje, hvor det fremgår, at sikkerhedsforskeren gjorde Netflix opmærksom på sårbarheden første gang 26. september i år, og at problemet var løst 4. november.
Løsningen, som Netflix har valg, er iøvrigt, at brugeren skal trykke på en (virtuel) tast på telefonen i forbindelse med auto-opkaldet, før koden til password-nulstilling bliver læst op. På den måde bliver koden ikke automatisk dikteret til en telefonsvarer.
Sikkerhedsforskeren Shubham Shah har tidligere omtalt telefonsvarer-problematikken i forhold til at omgå 2-faktorautentifikation hos blandt andet LinkedIn og Google.
David Wind henviser i forbindelse med sit indlæg til to forslag fra Shubham Shah i forhold til at imødegå angrebsteknikken. Det ene er, som Netflix har gjort, at vente på, at brugeren trykker på en tast. Det andet er, at brugere bør sætte kodeord på deres telefonsvare, så det ikke er muligt at aflytte dem alene ved at spoofe et caller-id.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
