Grupo descobre falha de VoIP em gateway da BT
Um grupo de hackers divulgou uma vulnerabilidade existente no gateway da BT no Reino Unido pela qual usuários podem ter dados pessoais roubados.
Uma falha em um gateway DSL pode levar usuários de banda larga a divulgarem informações pessoais por telefone para alguém que acreditem estar telefonando, por exemplo, de seu banco. O alerta foi dado por um grupo de hackers que se chamam de éticos.
Conhecido como GNUCitizen, o grupo explicou que o Home Hub, entregue aos assinantes de banda larga da British Telecom no Reino Unido, possui uma vulnerabilidade de autenticação que permite que um site com códigos JavaScript maliciosos iniciem uma ligação via VoIP. “Ele pode pedir que o seu Home Hub inicie uma conexão VoIP com qualquer número de telefone do planeta”, diz Adrian Pastor, em um vídeo publicado no blog do grupo.
Os assinantes utilizando a versão 6.2.6.B do BT Home Hub conjuntamente com o serviço Broadband Talk VoIP, da BT, têm seus dados em risco, segundo Pastor.
Para que o ataque seja bem sucedido, a vítima precisa ser atraída para o site malicioso. Isso pode ser feito por meio de um e-mail contendo informações falsas e um link para o endereço contendo o código JavaScript. Uma vez que o usuário clique sobre esse link, o JavaScript é executado, explica Petko Petkov, no mesmo vídeo.
Então o telefone da vítima toca, e o gateway inicia uma chamada para outro número. O usuário acredita estar recebendo uma chamada, mas na verdade ele está fazendo uma ligação VoIP a partir de seu gateway doméstico.
De acordo com o GNUCitizen, há pelo menos duas formas de explorar a vulnerabilidade. Pastor publicou um código prova de conceito para o ataque em seu site. Porém, ele precisa ser utilizado com o Home Hub rodando a versão específica do software da BT.
Um porta-voz da BT disse que a companhia não acredita que os cenários descritos por Pastor e Petkov possam afetar seus clientes, e que nenhum deles relatou qualquer ataque. Apesar disso, a companhia vai lançar uma correção que será automaticamente instalada no Home Hub, de acordo com o porta-voz.
Ele diz ainda que a BT considera altamente irresponsável o fato de Pastor ter tornado pública a vulnerabilidade.
Fonte: COMPUTERWORLD
English version:
A group of hackers released a vulnerability existing in the gateway of BT in the United Kingdom by which users may have stolen personal data.
A failure in one gateway can lead users of DSL broadband to disclose personal information by phone to be calling someone who believe, for example, from your bank. The alert was given by a group of hackers who call ethical.
Known as GNUCitizen, the group explained that the Home Hub, delivered to subscribers for broadband of British Telecom in the UK, has a vulnerability that allows authentication to a site with malicious JavaScript code initiate a connection via VoIP "He can ask that his Home Hub initiate a connection with any VoIP phone number on the planet," says Adrian Shepherd, in a video published in the blog group.
Subscribers using the version 6.2.6.B of the BT Home Hub together with the Broadband Talk VoIP service, BT, have your data at risk, according to Pastor.
For the attack to succeed, the victim needs to be attracted to the site malicious. This can be done through an email containing false information and a link to the address containing the JavaScript code. Once the user clicks on the link, the JavaScript is executed, explains Petko Petkov, in the same video.
Then the phone rings of the victim, and the gateway initiates a call to another number. You believe receiving a call, but in fact it is making a connection VoIP gateway from your home.
According to the GNUCitizen, there are at least two ways to exploit the vulnerability. Pastor published a proof of concept code for the attack on its website. But he needs to be used with the Home Hub running a particular version of the software from BT.
A spokesman for BT said the company does not believe that the scenarios described by Pastor and Petkov will affect your customers, and that none of them reported any attack. Nevertheless, the company will launch a correction which will be automatically installed in the Home Hub, according to the spokesman.
He says also that the BT considers highly irresponsible the fact Pastor have made public the vulnerability.
Source: COMPUTERWORLD
2 comentários:
Analog To VoIP Gateway: Your source for VoIP gateways, analog to VoIP gateway, asterisks PBX, VoIP technology solutions. Analog VoIP gateways to connect telephones and POTS line to your IP PBX.
Acredito que a comunidade de pabx ip bem como de telefonia voip tem que buscar alternativas que impessam acões como estas e isso somente sera possivel com a evolicao das atualizacoes de software e treibamento especifico de profissionais e tecnicos de telefonia
Postar um comentário