Onderzoeker demonstreert overnemen accounts via bruteforce-aanval op voicemail

Martin Vigo, een Spaanse beveiligingsonderzoeker, heeft op Def Con in Las Vegas geautomatiseerde bruteforce-aanvallen op voicemails van Amerikaanse mobiele providers gedemonstreerd, waarmee hij bijvoorbeeld WhatsApp- en PayPal-accounts kon overnemen.

Vigo introduceerde zijn onderzoek door te stellen dat er sinds de jaren tachtig niet bijzonder veel is veranderd aan de beveiliging van voicemails. Zo zouden de vier grote Amerikaanse providers, Sprint, T-Mobile, Verizon en AT&T, nog steeds eenvoudige standaardpins voor hun voicemailsystemen gebruiken. Bijvoorbeeld de laatste vier cijfers van een telefoonnummer. Ook zou het vrij eenvoudig zijn om viercijferige pincodes te raden, doordat deze bijvoorbeeld vaak beginnen met 19 omdat de gebruiker een geboortejaar als pin instelt. Verder hebben de pincodes een lengte van maximaal tien cijfers, wat ze redelijk eenvoudig te bruteforcen maakt, aldus Vigo. Ten slotte is het mogelijk drie verschillende pincodes tegelijk in te voeren.

Om al deze bevindingen om te zetten in een aanval, maakte hij zijn eigen Python-script genaamd voicemailcracker. Zijn software maakt gebruik van de dienst Twilio om oproepen te doen, wat geen grote kosten met zich mee zou brengen. Zijn script is volledig geautomatiseerd en bevat payloads die zijn toegespitst op de vier providers. Daarnaast probeert de software op efficiënte wijze de pincode te bruteforcen, onder meer door veelgebruikte en standaardpincodes eerst in te voeren.

Een volgende stap is het zo snel mogelijk uitkomen bij de voicemail van het doelwit. Hij kwam erachter dat de providers allemaal nummers hebben waar iemand direct een voicemail voor elk gewenst nummer kan achterlaten. Via dat nummer is ook een login uit te voeren waarvoor de pin is vereist. Zo kan hij zijn aanval ongedetecteerd uitvoeren, claimt de onderzoeker. In een demo toonde hij dat zijn software er ongeveer 100 seconden over deed om 20 pincodes uit te proberen.

voicemail-vigo

In een tweede demo laat hij zien hoe hij het script inzet om een WhatsApp-account over te nemen. Hij registreert het nummer van het doelwit op een eigen telefoon op een moment dat zijn doelwit offline is. Vervolgens wacht hij even tot de mogelijkheid verschijnt om de code, die eerst via een bericht wordt verstuurd, via een oproep te ontvangen. Door bijvoorbeeld op dat moment zelf het doelwit op te bellen, gaat de oproep met de code naar de voicemail en wordt het bericht opgenomen. Vervolgens logt zijn software automatisch op de voicemail van het doelwit in met de achterhaalde pincode en speelt het laatste bericht af, waarin de code zit om het account te activeren.

Sommige bedrijven vereisen dat de gebruiker een bepaalde code op zijn telefoon intoetst zodra hij ervoor kiest om via een oproep een actie te bevestigen, zoals het opnieuw instellen van een wachtwoord. In een volgende demo, deze keer met PayPal, liet Vigo zien dat ook deze bescherming te omzeilen is. Zo logde hij via zijn script in op de voicemail van het doelwit en paste hij de welkomstboodschap aan naar dtmf-tonen die de code representeren die hij van PayPal moest invoeren. Op deze manier lukte het hem om het wachtwoord van een bepaald account opnieuw in te stellen. Hij stelt dat zijn techniek ook gebruikt kan worden om bijvoorbeeld tweetrapsauthenticatie te omzeilen.

Hij kondigde aan een uitgeklede variant van zijn software op GitHub te zetten, maar dat is op het moment van schrijven nog niet gebeurd. Tweakers heeft nog niet kunnen onderzoeken of ook voicemails in de Benelux vatbaar zijn voor een dergelijke aanval. De onderzoeker raadt gebruikers aan om voicemail helemaal uit te schakelen. Voor onlinediensten zou volgens hem moeten gelden dat ze geen sms of spraak toestaan voor bevestiging of authenticatie; providers raadt hij aan om geen standaardpins toe te laten en geen diensten aan te bieden om direct te voicemail te bereiken.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 11-08-2018 10:36 35

11-08-2018 • 10:36

35

Lees meer

Twilio ontslaat 11 procent van medewerkers
Twilio ontslaat 11 procent van medewerkers Nieuws van 15 september 2022
Voicemail Lebara-klanten was te beluisteren door telefoonnummer te spoofen
Voicemail Lebara-klanten was te beluisteren door telefoonnummer te spoofen Nieuws van 19 december 2017
Documenten tonen wat forensisch bedrijf uit onversleutelde iPhones haalt
Documenten tonen wat forensisch bedrijf uit onversleutelde iPhones haalt Nieuws van 23 december 2016
Beveiliging en antivirus Security Voicemail

Reacties (35)

-Moderatie-faq
35
34
25
3
0
3
Wijzig sortering
F_J_K Forummoderator 11 augustus 2018 11:15
In Nederland kan je ook vanaf andere nummers je voicemail bereiken, tenminste bij Tmobile (06-24001233) maar vast ook de anderen.

Maar: ten eerste kunnen er logs worden bijgehouden (vanaf welk nummer belt men voor welke voicemailbox) en ten tweede is het bruteforcen prima te stoppen via reguliere methoden. Voldoende tijd tussen pogingen, evt. iedere mislukte poging iets trager maken, etc. Of dat gebeurt weet ik niet maar het ligt wel voor de hand.

Bij een password van (bij Tmobile) max 7 cijfers zal bruteforcen sowieso dusdanig lang duren bij 5 seconden per stuk dat het onzinnig is. Mits je een fatsoenlijk password hebt, natuurlijk. Niet 1234567.
Kain_niaK @F_J_K11 augustus 2018 12:13
En je kunt ook je nummer spoofen natuurlijk. Als iemand geen code heeft ingesteld en je spooft het nummer zit je meteen op zijn voicemail.
MrFax @Kain_niaK11 augustus 2018 14:40
Is daar tegenwoordig geen beveiling voor? Ik dacht dat alle (Nederlandse) SIMs van nu encrypted zijn en dat een provider alleen nog beveiligde SIMs op het netwerk accepteert zodat spoofen (bijna) onmogelijk is.

[Reactie gewijzigd door MrFax op 26 juli 2024 20:22]

henk717 @MrFax12 augustus 2018 01:37
Nummer spoofen is heel makkelijk, sterker nog ik doe het zo nu en dan met mijn eigen nummer als ik via een VOIP dienst bel (In mijn geval is dit een functie van CosmoVOIP al hebben hun het wel zo beveiligd dat het pas kan als het nummer op neemt, andere VOIP diensten laten dit gewoon toe). Net als met e-mail gewoon je verzend nummer mee sturen en het komt als afzender aan bij het doelwit. De enige beveiliging die een voicemail systeem zou kunnen uitvoeren is door he enkel beschikbaar te maken voor het interne netwerk en IMEI nummer van de gebruiker.

Ik heb geen voicemail dus ik kan niet testen of tele2 mijn nummer zou herkennen als ik naar het algemene nummer bel.
MrFax @henk71712 augustus 2018 02:46
Ja maar je kan dan dus niet zomaar SMS'jes en telefoontjes ontvangen.
VSB @MrFax11 augustus 2018 15:29
Ik heb dit bij KPN een aantal keer getest (op mn eigen nummer via een gespoofte sip phone). Het maakt niet uit of je de juiste code invult, de code wordt niet geaccepteerd.
Origin64 11 augustus 2018 11:02
Kun je in NL ook bij je voice mail vanaf een ander nummer of het internet? Zo ja hoe zet je dit uit?

[Reactie gewijzigd door Origin64 op 26 juli 2024 20:22]

sannie1213 @Origin6411 augustus 2018 11:10
Ik weet dat je bij T-mobile kunt bellen naar "06-24001233" om vanaf bijv. een ander 06-nummer je voicemail te beluisteren.
wildhagen
@Origin6411 augustus 2018 11:14
Kun je in NL ook bij je voice mail vanaf een ander nummer of het internet? Zo ja hoe zet je dit uit?
Bij Tele2 kan het door je eigen mobiele nummer te bellen, en dan tijdens de voicemail-tekst op *5 te drukken. Als je vervolgens je pincode intikt kan je remote je voicemail afluisteren.

Vanuit het buitenland kan je remote je voicemail afluisteren door te bellen naar +31 6 40192939.

Dit is volgens mij niet uit te zetten (anders dan je hele voicemail uitschakelen).

Hoe het bij andere providers zit weet ik verder niet.
sannie1213 @Origin6411 augustus 2018 11:16
Even bekeken, zo als ik het op internet nalees. Ondersteund iedere provider dit, en is dit niet los uit te schakelen. Wil je dit uitzetten, dan zul je je volledige voicemail moeten uitschakelen.

Iets voor de Nederlandse providers, beter is als iedere provider wereldwijd dit doet, om hier mee aan de slag te gaan.
pietje63 @sannie121311 augustus 2018 16:40
Kun je niet via het voicemailmenu ook voicemail in- en uitschakelen? Het uitschakelen van je voicemail lost dan niets op.
sannie1213 @pietje6311 augustus 2018 23:53
Klopt, maar dan kunnen ze in eerst instantie niet direct de verificatiecode afvangen.
RJG-223 11 augustus 2018 11:07
Voor onlinediensten zou volgens hem moeten gelden dat ze geen sms [...] toestaan voor bevestiging of authenticatie
Dat komt zomaar uit de lucht vallen. Er wordt verder nergens iets over gezegd. Waarom kan SMS ineens ook niet ? Volgens de uitleg zijn alleen spraakverbindingen kwetsbaar.
Finraziel @RJG-22311 augustus 2018 11:26
SMS wordt volgens mij al als onveilig gezien omdat het te onderscheppen is met een man in the middle attack. Daarvoor moet je dan volgens mij wel het toestel waar de SMS naar toe gaat zover krijgen om op een 'zendmast' van jou aan te melden. In dit verhaal komt het inderdaad een beetje uit de lucht vallen.
Misschien staat in de bron meer maar die wil niet echt laden hier momenteel...
milte001 @Finraziel11 augustus 2018 12:14
Dit is inderdaad correct. Het inloggen op een kwaadaardige mast is trouwens iets dat gemakkelijk werk. Standaard wordt er ingelogd op de mast met het beste signaal, echter wordt dat bepaalt door de mast zelf. Die geeft tijdens het verbinden met de mast aan welke signaalsterkte hij waarneemt. Door dit erg voordelig weer te geven kan een persoon dus heel gemakkelijk verbonden worden met een kwaadaardige mast. Wat dit extra gevaarlijk maakt is dat de gemiddelde gebruiker hier niets van ziet.
ViperXL @Finraziel11 augustus 2018 12:22
Onlangs zijn er ook kwetsbaarheden in 2FA via SMS gevonden en inderdaad onder andere MitM attacks is een zorg.
stresstak @RJG-22311 augustus 2018 12:13
Waarom kan SMS ineens ook niet ? Volgens de uitleg zijn alleen spraakverbindingen kwetsbaar.
Is een voorgelezen SMS geen vorm van spraakverbinding ?
RJG-223 @stresstak11 augustus 2018 12:24
Is een voorgelezen SMS geen vorm van spraakverbinding ?
Natuurlijk. Maar dat doet de verzender: een spraakverbinding opzetten, en de tekst voorlezen. Dan heb je het dus over spraak, niet meer over SMS. Als de verzender die optie niet biedt, dan verstuurt ie gewoon een SMS, en het is dus niet duidelijk waarom de onderzoekers dat, in het kader van dit onderzoek, als onveilig bestempelen.
Cerberus_tm @RJG-22311 augustus 2018 15:10
Zijn er ook niet ontvangers die dit doen, een telefoonmaatschappij die een SMS ontvangen door een vast nummer omzet in een spraakbericht op de voicemail?
bbc 11 augustus 2018 11:30
Vroeger had je nog de mogelijkheid om geen voice mail te activeren. Ik heb het nooit gedaan, maar helaas, bij een overname door een andere provider werd mijn voice mail automatisch geactiveerd en kreeg ik ineens een bericht dat ik voicemail had.

Als iemand me echt nodig heeft moet hij maar een sms sturen. Ik kan wel begrijpen dat je voicemail nodig hebt indien je een zaak hebt, maar het zou mooi zijn om deze 'optie' uit te kunnen schakelen.

edit: ik bedenk me net dat ik bij mijn eerste provider gesprekskosten moest betalen om naar mijn eigen voicemail te luisteren. Nadat het gratis werd vond ik het best aangenaam om er geen te hebben en heb het dus nooit (zelf) geactiveerd.

[Reactie gewijzigd door bbc op 26 juli 2024 20:22]

wildpicture @bbc11 augustus 2018 12:09
Inderdaad erg handig want je wilt niet altijd voicemail hebben. Veel mensen hebben de neiging om iets in te spreken en gaan er dan vanuit dat hun vraag/wens ook meteen geaccepteerd is en uitgevoerd wordt en daarmee afgehandeld.

Eind 80-er jaren deed ik stagebegeleiding van IT opleidingen. Ieder half jaar had ik dan zo'n 120 studenten die ik 2x of 3x op hun stageadres moest bezoeken. In een hele grote regio een enorm gepuzzel en geplan om dat een beetje logisch te laten verlopen. Vanuit de opleiding moest ik een antwoordapparaat (die bestonden toen wel, mobieltjes nog niet) hebben om voor de studenten bereikbaar te zijn. In de praktijk werd het door de studenten vooral gebruikt om 's avonds laat te bellen dat de afspraak de volgende ochtend niet doorging. Meestal met een zwakke smoes, in werkelijkheid omdat ze hun werk niet af hadden. Ik kon dan weer mijn hele planning om gaan zetten.

Sinds die tijd heb ik een enorme hekel aan voicemail. Stuur inderdaad maar een sms en dan zie ik wel of het belangrijk is en of/hoe ik daar op reageer.
WhatsappHack
@wildpicture11 augustus 2018 15:33
Voicemail is sowieso super irritant. De meest vervelende variant is de "... is niet bereikbaar en u kunt geen bericht achterlaten". Ja thnx voor de info, lekker nuttig. :+ Als er niet opgenomen was, dan had ik dat ook wel geweten. De pest is dat dat vanuit het buitenland dus gewoon geld kost, zo'n nutteloze mededeling. Tegenwoordig ben je het verplicht zo in te stellen als je toch nog SMSjes wilt van gemiste oproepen. :+

Visual Voicemail maakt het een stuk draaglijker maar is ook niet echt super.
Moest vanwege de barslechte mobiele netwerken in Frankrijk en Duitsland noodgedwongen voicemail weer aanzetten, blijf het een drama vinden. Waardeloos systeem.
nullbyte @bbc11 augustus 2018 14:51
De voicemail is bij T-mobile gewoon uit te schakelen op my t-mobile. Andere providers zullen ongetwijfeld een zelfde optie hebben.
cdwave @bbc12 augustus 2018 11:46
Bij KPN kun je het uitzetten, is veel werk en kost geld (gesprekskosten prepay). En soms gaat het spontaan weer aan.
Chielemans 11 augustus 2018 11:03
Moderne uitvoering van phreaking.. interessant!
ToolBee @Chielemans11 augustus 2018 19:15
Herinnert u zich deze nog, nog... ;)

https://i.pinimg.com/736x...cfb29d8a71e--blue-box.jpg
Chielemans @ToolBee13 augustus 2018 23:09
Zeker.. gaaf, de blue box! Zit even te zoeken, maar was er ook niet iets met een fluitje wat bij een cereal zat?
Mooie geschiedenis :)
kodak
11 augustus 2018 16:36
Tweakers heeft nog niet kunnen onderzoeken of ook voicemails in de Benelux vatbaar zijn voor een dergelijke aanval.
Tweakers heeft zelf meerdere berichten geplaatst over het bestaan van die aanval in Nederland. Staat gewoon in het archief als je zoekt op voicemail:

In 2011: Lek bij voicemail van Vodafone als je het 06 van het slachtoffer wist. Pincode bleek soms niet eens gecontroleerd te worden. En als die er wel was was dat bijvoorbeeld een standaard code. Stond meerdere dagen op Tweakers omdat het ook in de Tweede Kamer met spoed werd besproken.

In 2017: Spoofing lek in voicemail van Lebra .

De manier van aanvallen zal waarschijnlijk verschillen. Er was voor deze aanval ook per provider een verschillende techniek. Maar inhoudelijk is dit gewoon gelijk.

[Reactie gewijzigd door kodak op 26 juli 2024 20:22]

cracking cloud @kodak12 augustus 2018 01:13
4x 0 vind ik nog niet echt hacken
Sandor_Clegane 11 augustus 2018 10:42
Mooi dan kan hij gelijk even door die irritante setup heen. Scheelt weer.
SpoekGTi 11 augustus 2018 10:52
Nooit zo over nagedacht met die voice assisted calls
stresstak 11 augustus 2018 12:22
In den beginne heb ik de voicemailboodschap een tijd gebruikt om te melden dat anonieme oproepen en voicemail niet aangenomen zouden worden. Toen dat genoegzaam bekend mocht worden geacht heb ik het weer uit gezet.
MOO!!!! 11 augustus 2018 18:03
Achterhaalde meuk die voicemail, een app is zo gemaakt welke een bericht kan sturen naar je smartphone zodra deze op het data netwerk komt. Elke provider werkt met accounts tegenwoordig, zo ook KPN maar die werkt nog niet lekker, mis vaak voicemail notificaties of ze komen dagen later een keer binnen.

Uiteindelijk voicemail maar uitgeschakeld, men weet dat ze ook berichten via whatsapp kunnen achterlaten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq