Bir güvenlik analisti, Android cihazlarda Görsel Sesli Posta (VVM) kimlik bilgilerini yakalamanın ve ardından kurbanın bilgisi olmadan sesli posta mesajlarını uzaktan dinlemenin bir yolunu buldu.
Güvenlik araştırmacısı Chris Talbot, 21 Haziran 2021’de açığı keşfetti ve güvenlik açığını CVE-2022-23835 kapsamında dosyaladı.
Hata, Android işletim sistemindeki bir kusur değil, hizmetin mobil operatörler tarafından nasıl uygulandığıdır.
Ancak kusuru var “tartışmalı” bir durum çünkü AT&T ve T-Mobile, sömürülemeyen bir riski tanımladığı için raporu reddetti, Sprint ve Verizon ise yanıt vermedi.
Kusurun istismar edilebilirliği söz konusu olsa da, CERT Koordinasyon Merkezi Talbot’un keşfinin ayrıntılarını, potansiyel etki ve bir yayınlanan PoC (kavram kanıtı) hatadan yararlanmak için araç.
Görsel Sesli Posta, müşterilerin sesli postaları herhangi bir sırayla görüntülemesine, dinlemesine ve yönetmesine olanak tanıyan çok sayıda mobil operatör tarafından kullanılan bir sesli posta sistemidir.
Talbot tarafından keşfedilen yöntemi kullanmak, uzaktaki bir kişinin potansiyel olarak birinin özel mesajlarını ve çoğu durumda hassas mesajlarını dinlemesine izin verdiği için önemli bir mahremiyet ihlalidir.
İstismar süreci
CVE-2022-23835’ten yararlanmak için, saldırganın VVM IMAP sunucusu kimlik bilgilerini gizlice dinlemek için gereken READ_SMS iznine sahip bir uygulama kullanması gerekir.
VVM IMAP kimlik bilgileri SMS protokolü aracılığıyla şifrelenmemiş bir biçimde gönderildiğinden, SMS içeriğini okuma izinlerine sahip herhangi bir kötü amaçlı uygulama bunları kapabilir.
Bu SMS mesajları, VVM’ye kaydolurken, etkinleştirirken/devre dışı bırakırken ve VVM istemci uygulamasında oturum açarken gönderilir ve alınır. Arka planda VVM sistemi tarafından işlendiği için kullanıcılar bu SMS mesajlarını asla görmezler.
Kimlik bilgilerini çalma adımı sona erdikten sonra, saldırganın artık SIM karta ve SMS’e erişmesine gerek kalmayacak ve kurbanın VVM’sine bağımsız olarak ve iz bırakmadan erişme yetkisine sahip olacaktır.
Android, tüm sesli mesajları, kullanıcı istemci uygulamasında silene kadar IMAP sunucusunda bıraktığından, kötü niyetli bir aktör, kurbanın veri silme titizliğine bağlı olarak yalnızca son mesajlara değil, tüm geçmiş arşive de erişebilir.
Etki ve koruma
analist istismarı test etti Android VVM uygulamalarına karşı, ancak VVM işlevlerini de destekleyen iPhone test edilmedi.
Ayrıca, kurban yeni bir akıllı telefona geçtiğinde, taşıyıcı, ilgili SIM kartla ilişkili IMEI numarası değişse bile VVM şifresini sıfırlamaz.
Bu noktada tüketicilerin bu saldırılara karşı kendilerini korumalarının tek yolu SMS izin verme isteklerini dikkatli bir şekilde ele almaktır.
Çoğu anlık mesajlaşma uygulamasının bu izni istediğini unutmayın, bu nedenle yalnızca bu tür uygulamaları güvenilir kaynaklardan ve yayıncılardan yükleyin.
Ek olarak, VVM şifrenizi periyodik olarak değiştirin ve eriştiğiniz ve artık ihtiyaç duymadığınız sesli posta mesajlarını silin.
Son olarak, bir web portalı aracılığıyla VVM hizmetlerine erişmek, mobil cihazınızda istemci uygulamaları kullanmaktan çok daha güvenlidir.