خدمات الـ VoIP معرضة للاختراق

اكتشفت شركة الأبحاث في Secure Science مؤخراً أنه من الممكن اختراق نظام الهواتف المبني على الانترنت من خلال العيوب الأمنية المتواجدة ضمنه، وإمكانية إنشاء شبكة من حسابات الهواتف المخترقة،
لقد تسببت الفيروس من نوع botnet بالعديد من المشاكل خلال السنين الماضية.

وقد تمكن الباحثون من اكتشاف طرق للقيام بمكالمات غير مشروعة عن طريق نظامي الاتصال Skype و Google Voice. يتم الإنصات من خلال بروتوكول الانترنت.

يتمكن المخترق من الدخول لحسابات المشتركين باستخدام تقنية تم اكتشافها من قبل الباحثين، ثم يقوم باستخدام برنامج ذو تكلفة منخفضة لفرع خصوصي من السنترال PBX للقيام بآلاف المكالمات من خلال الحسابات المسروقة.

لا يمكن تعقب هذه المكالمات من خلال الانترنت لذلك يقو المخترق بعمل نظام رسائل مؤتمت لمحاولة وسرقة معلومات مهمة من الضحايا، وهو اختراق يعرف باسم vishing. يمكن أن تكون هذه المكالمات عبارة عن رسائل مسجلة وقد تسأل المستقبل عن تحديث المعلومات حول حسابات بنوكهم.

يتمكن المخترق من خلال برنامج Google Voice من اعتراض أو الإنصات إلى المكالمات، ويمكن عمل ذلك من خلال استخدام ميزة تدعى Temporary Call Forwarding لإضافة رقم آخر إلى الحساب ومن ثم يستخدم برمجية مجانية مثل Asterisk للإجابة على المكالمة قبل أن يقوم الضحية بسماع رنة الهاتف. بالضغط على رمز * يتم تحويل المكالمة إلى هاتف الضحية مما يمكن المخترق من سماع المكالمة.

تمكن فريق البحث من Secure Science من الدخول لحسابات قاموا بإنشائها سابقاً مستخدمين خدمة من خلال الويب تدعى spoofcard والتي تمكن المستخدم من إظهار الرقم المتصل من أي رقم يرغبونه.

تم استخدام spoofcar في السابق للدخول لحسابات البريد الصوتية، أكثر القصص المشهورة عندما تم اختراق حساب هاتف الـ BlackBerry للفنانة Lindsay Lohan من ذو ثلاث سنوات وقام بإرسال رسائل غير ملائمة.

تستخدم الهجمات ضد برنامجي Skype و Google Voice تكنيك مختلف ولكن من حيث المبدأ كلاهما يعملان بسبب أن كلا الخدمتان لا تتطلب كلمة مرور للدخول إلى نظام البريد الصوتي.

للتمكن من اختراق حساب Skype يتوجب على الضحية أن يخدع من خلال زيارة موقع ويب مصاب خلال 30 دقيقة من بعد الولوج لحساب Skype. أما لاختراق حساب Google Voice يتوجب على المخترق أن يعرف رقم هاتف الضحية، وقد تمكن فريق Secure Science من إيجاد طريقة للكشف عن الرقم من خلال Google Voice Shore Message Service (SMS).

قامت شركة Google بإصدار تحديث لإصلاح الخلل الذي مكن فريق Secure Science من الاختراق، وقد أضافت إدخال لكلمة مرور عند الدخول لنظام البريد الصوتي.

وحسب تصريح من Google قالت بأنها قامت على العمل بالتنسيق مع Secure Science لحل المشكلة ضمن Google Voice وقد قاموا بعدة تحسينات لنظامهم، كما أنه لم يتم استلام أي تقرير من أي حساب حول الموضوع الذي تم طرحه من قبل Secure Science حول اختراق الحسابات.

على صعيد Skype لم يتم تحديث العيوب المتواجدة بعد، ولم تقم شركة EBay المالكة لشركة Skype بالرد على التعليقات بعد.

تظهر الاختراقات عن مدى ضعف نظام بروتوكول التحدث من خلال الانترنت VoIP.