16 abril 2009

Skype y Google Voice atacados

Está claro, cualquier servicio online es susceptible de ser atacado y si encima, mueve dinero, casi seguro que alguien inventa un modo de sacarle partido de forma fraudulenta.

La voz-por-IP no iba a ser menos, y ya se han publicado sendos ataques a Skype y Google Voice.

En lo concerniente a Skype, el problema estriba en un ataque de tipo CSRF en el frontal web de Skype. La forma de explotarlo pasa por engañar a la víctima para que haga click en un enlace web malicioso y, si está logado en la web de skype, se pueden realizar desde llamadas a través de su cuenta Skype, hasta ganar acceso al buzón de voz. (Aun no han sido revelados todos los detalles)

En el caso de Google, el tema ya 'nos suena' del affaire Twitter. Veamos, Google Voice es un servicio (no disponible aun en España) que permite, a través de un numero de teléfono 'virtual' gestionar envío y recepción de SMS y llamadas (se asemeja al concepto Proxy). Entonces, como se puede intuir, el control de ese numero-proxy te da acceso al control del buzón de mensajes, histórico de SMS o redirección de llamadas.

Para hacer uso del servicio -obvio- tienes que registrar al menos un numero de teléfono 'real' y por lo visto, aparte de la interface web de administración del servicio, si llamas a tu numero-proxy desde tu numero asociado, tienes acceso a gestión del servicio desde el teléfono.

¿Problema? A la gente de Google se les 'olvidó' asociar un numero PIN para validar el acceso, tomando únicamente como elemento-de-validación el caller-ID del teléfono que llamaba y claro, al igual que un SMS se puede spoofear, un número de teléfono también, por lo que una vez conseguido esto, el acceso al servicio era total pudiendo, entre otras cosas, desviar llamadas.

Los detalles, en el blog de securescience:

El ataque a Skype
El ataque a Google Voice