Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker demonstreert overnemen accounts via bruteforce-aanval op voicemail

Martin Vigo, een Spaanse beveiligingsonderzoeker, heeft op Def Con in Las Vegas geautomatiseerde bruteforce-aanvallen op voicemails van Amerikaanse mobiele providers gedemonstreerd, waarmee hij bijvoorbeeld WhatsApp- en PayPal-accounts kon overnemen.

Vigo introduceerde zijn onderzoek door te stellen dat er sinds de jaren tachtig niet bijzonder veel is veranderd aan de beveiliging van voicemails. Zo zouden de vier grote Amerikaanse providers, Sprint, T-Mobile, Verizon en AT&T, nog steeds eenvoudige standaardpins voor hun voicemailsystemen gebruiken. Bijvoorbeeld de laatste vier cijfers van een telefoonnummer. Ook zou het vrij eenvoudig zijn om viercijferige pincodes te raden, doordat deze bijvoorbeeld vaak beginnen met 19 omdat de gebruiker een geboortejaar als pin instelt. Verder hebben de pincodes een lengte van maximaal tien cijfers, wat ze redelijk eenvoudig te bruteforcen maakt, aldus Vigo. Ten slotte is het mogelijk drie verschillende pincodes tegelijk in te voeren.

Om al deze bevindingen om te zetten in een aanval, maakte hij zijn eigen Python-script genaamd voicemailcracker. Zijn software maakt gebruik van de dienst Twilio om oproepen te doen, wat geen grote kosten met zich mee zou brengen. Zijn script is volledig geautomatiseerd en bevat payloads die zijn toegespitst op de vier providers. Daarnaast probeert de software op efficiŽnte wijze de pincode te bruteforcen, onder meer door veelgebruikte en standaardpincodes eerst in te voeren.

Een volgende stap is het zo snel mogelijk uitkomen bij de voicemail van het doelwit. Hij kwam erachter dat de providers allemaal nummers hebben waar iemand direct een voicemail voor elk gewenst nummer kan achterlaten. Via dat nummer is ook een login uit te voeren waarvoor de pin is vereist. Zo kan hij zijn aanval ongedetecteerd uitvoeren, claimt de onderzoeker. In een demo toonde hij dat zijn software er ongeveer 100 seconden over deed om 20 pincodes uit te proberen.

In een tweede demo laat hij zien hoe hij het script inzet om een WhatsApp-account over te nemen. Hij registreert het nummer van het doelwit op een eigen telefoon op een moment dat zijn doelwit offline is. Vervolgens wacht hij even tot de mogelijkheid verschijnt om de code, die eerst via een bericht wordt verstuurd, via een oproep te ontvangen. Door bijvoorbeeld op dat moment zelf het doelwit op te bellen, gaat de oproep met de code naar de voicemail en wordt het bericht opgenomen. Vervolgens logt zijn software automatisch op de voicemail van het doelwit in met de achterhaalde pincode en speelt het laatste bericht af, waarin de code zit om het account te activeren.

Sommige bedrijven vereisen dat de gebruiker een bepaalde code op zijn telefoon intoetst zodra hij ervoor kiest om via een oproep een actie te bevestigen, zoals het opnieuw instellen van een wachtwoord. In een volgende demo, deze keer met PayPal, liet Vigo zien dat ook deze bescherming te omzeilen is. Zo logde hij via zijn script in op de voicemail van het doelwit en paste hij de welkomstboodschap aan naar dtmf-tonen die de code representeren die hij van PayPal moest invoeren. Op deze manier lukte het hem om het wachtwoord van een bepaald account opnieuw in te stellen. Hij stelt dat zijn techniek ook gebruikt kan worden om bijvoorbeeld tweetrapsauthenticatie te omzeilen.

Hij kondigde aan een uitgeklede variant van zijn software op GitHub te zetten, maar dat is op het moment van schrijven nog niet gebeurd. Tweakers heeft nog niet kunnen onderzoeken of ook voicemails in de Benelux vatbaar zijn voor een dergelijke aanval. De onderzoeker raadt gebruikers aan om voicemail helemaal uit te schakelen. Voor onlinediensten zou volgens hem moeten gelden dat ze geen sms of spraak toestaan voor bevestiging of authenticatie; providers raadt hij aan om geen standaardpins toe te laten en geen diensten aan te bieden om direct te voicemail te bereiken.

Door Sander van Voorst

Nieuwsredacteur

11-08-2018 • 10:36

35 Linkedin Google+

Reacties (35)

Wijzig sortering
In Nederland kan je ook vanaf andere nummers je voicemail bereiken, tenminste bij Tmobile (06-24001233) maar vast ook de anderen.

Maar: ten eerste kunnen er logs worden bijgehouden (vanaf welk nummer belt men voor welke voicemailbox) en ten tweede is het bruteforcen prima te stoppen via reguliere methoden. Voldoende tijd tussen pogingen, evt. iedere mislukte poging iets trager maken, etc. Of dat gebeurt weet ik niet maar het ligt wel voor de hand.

Bij een password van (bij Tmobile) max 7 cijfers zal bruteforcen sowieso dusdanig lang duren bij 5 seconden per stuk dat het onzinnig is. Mits je een fatsoenlijk password hebt, natuurlijk. Niet 1234567.
En je kunt ook je nummer spoofen natuurlijk. Als iemand geen code heeft ingesteld en je spooft het nummer zit je meteen op zijn voicemail.
Is daar tegenwoordig geen beveiling voor? Ik dacht dat alle (Nederlandse) SIMs van nu encrypted zijn en dat een provider alleen nog beveiligde SIMs op het netwerk accepteert zodat spoofen (bijna) onmogelijk is.

[Reactie gewijzigd door NotCYF op 11 augustus 2018 22:22]

Nummer spoofen is heel makkelijk, sterker nog ik doe het zo nu en dan met mijn eigen nummer als ik via een VOIP dienst bel (In mijn geval is dit een functie van CosmoVOIP al hebben hun het wel zo beveiligd dat het pas kan als het nummer op neemt, andere VOIP diensten laten dit gewoon toe). Net als met e-mail gewoon je verzend nummer mee sturen en het komt als afzender aan bij het doelwit. De enige beveiliging die een voicemail systeem zou kunnen uitvoeren is door he enkel beschikbaar te maken voor het interne netwerk en IMEI nummer van de gebruiker.

Ik heb geen voicemail dus ik kan niet testen of tele2 mijn nummer zou herkennen als ik naar het algemene nummer bel.
Ja maar je kan dan dus niet zomaar SMS'jes en telefoontjes ontvangen.
Ik heb dit bij KPN een aantal keer getest (op mn eigen nummer via een gespoofte sip phone). Het maakt niet uit of je de juiste code invult, de code wordt niet geaccepteerd.
Kun je in NL ook bij je voice mail vanaf een ander nummer of het internet? Zo ja hoe zet je dit uit?

[Reactie gewijzigd door Origin64 op 11 augustus 2018 11:02]

Ik weet dat je bij T-mobile kunt bellen naar "06-24001233" om vanaf bijv. een ander 06-nummer je voicemail te beluisteren.
Kun je in NL ook bij je voice mail vanaf een ander nummer of het internet? Zo ja hoe zet je dit uit?
Bij Tele2 kan het door je eigen mobiele nummer te bellen, en dan tijdens de voicemail-tekst op *5 te drukken. Als je vervolgens je pincode intikt kan je remote je voicemail afluisteren.

Vanuit het buitenland kan je remote je voicemail afluisteren door te bellen naar +31 6 40192939.

Dit is volgens mij niet uit te zetten (anders dan je hele voicemail uitschakelen).

Hoe het bij andere providers zit weet ik verder niet.
Even bekeken, zo als ik het op internet nalees. Ondersteund iedere provider dit, en is dit niet los uit te schakelen. Wil je dit uitzetten, dan zul je je volledige voicemail moeten uitschakelen.

Iets voor de Nederlandse providers, beter is als iedere provider wereldwijd dit doet, om hier mee aan de slag te gaan.
Kun je niet via het voicemailmenu ook voicemail in- en uitschakelen? Het uitschakelen van je voicemail lost dan niets op.
Klopt, maar dan kunnen ze in eerst instantie niet direct de verificatiecode afvangen.
Voor onlinediensten zou volgens hem moeten gelden dat ze geen sms [...] toestaan voor bevestiging of authenticatie
Dat komt zomaar uit de lucht vallen. Er wordt verder nergens iets over gezegd. Waarom kan SMS ineens ook niet ? Volgens de uitleg zijn alleen spraakverbindingen kwetsbaar.
SMS wordt volgens mij al als onveilig gezien omdat het te onderscheppen is met een man in the middle attack. Daarvoor moet je dan volgens mij wel het toestel waar de SMS naar toe gaat zover krijgen om op een 'zendmast' van jou aan te melden. In dit verhaal komt het inderdaad een beetje uit de lucht vallen.
Misschien staat in de bron meer maar die wil niet echt laden hier momenteel...
Dit is inderdaad correct. Het inloggen op een kwaadaardige mast is trouwens iets dat gemakkelijk werk. Standaard wordt er ingelogd op de mast met het beste signaal, echter wordt dat bepaalt door de mast zelf. Die geeft tijdens het verbinden met de mast aan welke signaalsterkte hij waarneemt. Door dit erg voordelig weer te geven kan een persoon dus heel gemakkelijk verbonden worden met een kwaadaardige mast. Wat dit extra gevaarlijk maakt is dat de gemiddelde gebruiker hier niets van ziet.
Onlangs zijn er ook kwetsbaarheden in 2FA via SMS gevonden en inderdaad onder andere MitM attacks is een zorg.
Waarom kan SMS ineens ook niet ? Volgens de uitleg zijn alleen spraakverbindingen kwetsbaar.
Is een voorgelezen SMS geen vorm van spraakverbinding ?
Is een voorgelezen SMS geen vorm van spraakverbinding ?
Natuurlijk. Maar dat doet de verzender: een spraakverbinding opzetten, en de tekst voorlezen. Dan heb je het dus over spraak, niet meer over SMS. Als de verzender die optie niet biedt, dan verstuurt ie gewoon een SMS, en het is dus niet duidelijk waarom de onderzoekers dat, in het kader van dit onderzoek, als onveilig bestempelen.
Zijn er ook niet ontvangers die dit doen, een telefoonmaatschappij die een SMS ontvangen door een vast nummer omzet in een spraakbericht op de voicemail?
Vroeger had je nog de mogelijkheid om geen voice mail te activeren. Ik heb het nooit gedaan, maar helaas, bij een overname door een andere provider werd mijn voice mail automatisch geactiveerd en kreeg ik ineens een bericht dat ik voicemail had.

Als iemand me echt nodig heeft moet hij maar een sms sturen. Ik kan wel begrijpen dat je voicemail nodig hebt indien je een zaak hebt, maar het zou mooi zijn om deze 'optie' uit te kunnen schakelen.

edit: ik bedenk me net dat ik bij mijn eerste provider gesprekskosten moest betalen om naar mijn eigen voicemail te luisteren. Nadat het gratis werd vond ik het best aangenaam om er geen te hebben en heb het dus nooit (zelf) geactiveerd.

[Reactie gewijzigd door bbc op 11 augustus 2018 11:31]

Inderdaad erg handig want je wilt niet altijd voicemail hebben. Veel mensen hebben de neiging om iets in te spreken en gaan er dan vanuit dat hun vraag/wens ook meteen geaccepteerd is en uitgevoerd wordt en daarmee afgehandeld.

Eind 80-er jaren deed ik stagebegeleiding van IT opleidingen. Ieder half jaar had ik dan zo'n 120 studenten die ik 2x of 3x op hun stageadres moest bezoeken. In een hele grote regio een enorm gepuzzel en geplan om dat een beetje logisch te laten verlopen. Vanuit de opleiding moest ik een antwoordapparaat (die bestonden toen wel, mobieltjes nog niet) hebben om voor de studenten bereikbaar te zijn. In de praktijk werd het door de studenten vooral gebruikt om 's avonds laat te bellen dat de afspraak de volgende ochtend niet doorging. Meestal met een zwakke smoes, in werkelijkheid omdat ze hun werk niet af hadden. Ik kon dan weer mijn hele planning om gaan zetten.

Sinds die tijd heb ik een enorme hekel aan voicemail. Stuur inderdaad maar een sms en dan zie ik wel of het belangrijk is en of/hoe ik daar op reageer.
Voicemail is sowieso super irritant. De meest vervelende variant is de "... is niet bereikbaar en u kunt geen bericht achterlaten". Ja thnx voor de info, lekker nuttig. :+ Als er niet opgenomen was, dan had ik dat ook wel geweten. De pest is dat dat vanuit het buitenland dus gewoon geld kost, zo'n nutteloze mededeling. Tegenwoordig ben je het verplicht zo in te stellen als je toch nog SMSjes wilt van gemiste oproepen. :+

Visual Voicemail maakt het een stuk draaglijker maar is ook niet echt super.
Moest vanwege de barslechte mobiele netwerken in Frankrijk en Duitsland noodgedwongen voicemail weer aanzetten, blijf het een drama vinden. Waardeloos systeem.
De voicemail is bij T-mobile gewoon uit te schakelen op my t-mobile. Andere providers zullen ongetwijfeld een zelfde optie hebben.
Bij KPN kun je het uitzetten, is veel werk en kost geld (gesprekskosten prepay). En soms gaat het spontaan weer aan.
Moderne uitvoering van phreaking.. interessant!
Zeker.. gaaf, de blue box! Zit even te zoeken, maar was er ook niet iets met een fluitje wat bij een cereal zat?
Mooie geschiedenis :)
Tweakers heeft nog niet kunnen onderzoeken of ook voicemails in de Benelux vatbaar zijn voor een dergelijke aanval.
Tweakers heeft zelf meerdere berichten geplaatst over het bestaan van die aanval in Nederland. Staat gewoon in het archief als je zoekt op voicemail:

In 2011: Lek bij voicemail van Vodafone als je het 06 van het slachtoffer wist. Pincode bleek soms niet eens gecontroleerd te worden. En als die er wel was was dat bijvoorbeeld een standaard code. Stond meerdere dagen op Tweakers omdat het ook in de Tweede Kamer met spoed werd besproken.

In 2017: Spoofing lek in voicemail van Lebra .

De manier van aanvallen zal waarschijnlijk verschillen. Er was voor deze aanval ook per provider een verschillende techniek. Maar inhoudelijk is dit gewoon gelijk.

[Reactie gewijzigd door kodak op 11 augustus 2018 16:38]

4x 0 vind ik nog niet echt hacken
Mooi dan kan hij gelijk even door die irritante setup heen. Scheelt weer.
Nooit zo over nagedacht met die voice assisted calls
In den beginne heb ik de voicemailboodschap een tijd gebruikt om te melden dat anonieme oproepen en voicemail niet aangenomen zouden worden. Toen dat genoegzaam bekend mocht worden geacht heb ik het weer uit gezet.
Achterhaalde meuk die voicemail, een app is zo gemaakt welke een bericht kan sturen naar je smartphone zodra deze op het data netwerk komt. Elke provider werkt met accounts tegenwoordig, zo ook KPN maar die werkt nog niet lekker, mis vaak voicemail notificaties of ze komen dagen later een keer binnen.

Uiteindelijk voicemail maar uitgeschakeld, men weet dat ze ook berichten via whatsapp kunnen achterlaten.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True