Bir güvenlik analisti Android cihazlardaki Visual Voice Mail (VVM) kimlik bilgilerini yakalamanın bir yolunu geliştirmiş ve daha sonra mağdurun bilgisi olmadan uzaktan sesli posta mesajlarını dinlemek için bir yol geliştirmiştir.
Güvenlik Araştırması Chris Talbot, 21 Haziran 2021'de kusurları keşfetti ve CVE-2022-23835 altında güvenlik açığını açtı.
Hata, Android işletim sisteminde bir kusur değildir, ancak hizmetin mobil taşıyıcılar tarafından nasıl uygulandığı anlamına gelir.
Bununla birlikte, kusurun "tartışmalı" bir statüye sahiptir, çünkü AT & T ve T-Mobile, SPRINT ve VERIZON yanıt vermediler.
Kusurun sömürüsü söz konusu olsa da, CERT Koordinasyon Merkezi, Talbot'un keşifinin ayrıntılarını bugün potansiyel etki ve yayınlanan bir POC'un (Kavram Kanıtı) aracının, hatayı sömürme aracından dolayı detaylarını yayınladı.
Görsel sesli posta, müşterilerin sesli postaları herhangi bir sırayla görüntülemelerini, dinlemelerini ve yönetmelerini sağlayan çok sayıda mobil taşıyıcı tarafından kullanılan bir sesli posta sistemidir.
Talbot tarafından keşfedilen yöntemi kullanmak, uzak bir kişinin birisinin özelliğini potansiyel olarak dinlemesine ve birçok durumda, hassas mesajlara izin verdiği için, gizliliğin önemli bir ihlalidir.
CVE-2022-23835'ten yararlanmak için, saldırganın VVM IMAP sunucusu kimlik bilgilerinin üzerinde dinlenmesi gereken RAAD_SMS izniyle bir uygulama kullanmalıdır.
VVM IMAP kimlik bilgileri, SMS protokolü ile şifrelenmemiş bir formda gönderildiğinden, SMS içeriğini okumak için izinleri olan herhangi bir kötü amaçlı uygulama, bunları koparabilir.
Bu SMS mesajları VVM'ye kaydederken, etkinleştirme / devre dışı bırakma ve VVM istemci uygulamasına giriş yaparken gönderilir ve alınır. Kullanıcılar bu SMS mesajlarını asla VVM sistemi tarafından arka planda kullanıldıkça görmezler.
Kimlik bilgisi çalma adımının bittikten sonra, saldırganın artık SIM kartı ve SMS'ye erişime ihtiyacı olmaz ve mağdurun VVM'sine bağımsız olarak ve bir iz bırakmadan erişmek için güçlendirilecektir.
Android, IMAP sunucusundaki tüm sesli mesajları, kullanıcı istemci uygulamasında silmeye kadar, kötü amaçlı bir aktör, mağdurun veri silme titizliğine bağlı olarak yalnızca son mesajlara, ancak tüm tarihi bir arşive erişemez.
Analist, Android VVM uygulamalarına karşı istismarını test etti, ancak VVM işlevlerini de destekleyen iPhone test edilmedi.
Ayrıca, mağdur yeni bir akıllı telefona geçtiğinde, IMEI numarası ile ilişkili olan IMEI numarası değiştirilmiş olsa bile, taşıyıcı VVM şifresini sıfırlamaz.
Bu noktada, tüketicilerin kendilerini bu saldırılara karşı korumaları için tek yolu, SMS izninin izin verilmesi taleplerini dikkatli olmaktır.
Unutmayın, çoğu anlık mesajlaşma uygulamaları bu izni isteyin, bu nedenle bu tür uygulamaları güvenilir kaynaklardan ve yayıncılardan yükleyin.
Ek olarak, VVM şifrenizi periyodik olarak değiştirin ve eriştiğiniz ve artık ihtiyaç duyduğunuz sesli posta mesajlarını silin.
Son olarak, VVM hizmetlerine bir web portalı üzerinden erişmek, mobil cihazınızdaki istemci uygulamalarını kullanmaktan çok daha güvenlidir.
Android kullanıcıları artık vatoz saldırılarını engellemek için 2G'yi devre dışı bırakabilir
Firefox Focus şu anda Android cihazlardaki site takibi engelliyor
Ücretsiz Android uygulaması, kullanıcıların Apple Airtag izlemesini tespit etmelerini sağlar
Yeni Xenomorph Android Malware 56 Bankanın Müşterilerini Hedefliyor
Windows 11'in Android uygulamaları şimdi ABD'de mevcut
Kaynak: Bleeping Computer