Visual Voicemail-diensten versturen wachtwoorden onversleuteld via sms

[Captain Kirk]

Gebruikers van Visual Voicemail zijn gewaarschuwd, want dergelijke diensten versturen inloggegevens zoals wachtwoorden, gebruiksnamen en serverhost onversleuteld via sms. Een aanvaller die sms-berichten kan onderscheppen kan zo toegang tot voicemails krijgen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Visual Voicemail verscheen voor het eerst in iOS en is een combinatie van sms en imap. Het maakt het mogelijk om voicemails op de telefoon te downloaden en vervolgens in een programma weer te geven. Zodoende hoeft een gebruiker voicemailberichten niet achterelkaar af te luisteren. Wanneer een dergelijke client een status-sms verstuurt, zal de provider reageren met alle inloggegevens die nodig zijn om op de imap-server in te loggen.

Een aanvaller die de mogelijkheid heeft om sms-berichten te onderscheppen kan zo gebruikersnaam en wachtwoord in handen krijgen en voicemailberichten lezen. Het onderscheppen van sms zou volgens het CERT/CC op verschillende manieren kunnen, zoals tijdelijke toegang tot de simkaart, het gebruik van een malafide zendmast of de gebruiker een malafide app laten installeren die sms-toegang heeft.

Het CERT/CC stelt dat er geen praktische oplossing voor het probleem is. Wanneer mogelijk doen gebruikers er verstandig aan om periodiek hun wachtwoord te wijzigen en Visual Voicemail-data snel te verwijderen.

 

 

bron: https://www.security.nl