Recentemente la notizia è stata riempita con le accuse che dipendenti di News of the World hanno hackerato nella casella di posta vocale di celebrità e vittime di reati. Quale difetto è stato sfruttato per realizzare questo, e qual è il rischio per gli altri utenti di cellulari?
Secondo questo articolo del New York Times, c'erano un paio di metodi usati.
Il primo era un semplice tentativo di indovinare la password provando il PIN predefinito dall'operatore, e il secondo metodo era un attacco di social engineering contro l'operatore di rete mobile.
L'attacco per indovinare la password è semplice da mitigare semplicemente cambiando il PIN predefinito, i principali operatori del Regno Unito hanno già impostato le procedure per mitigare il secondo metodo di attacco
Orange, Three and T-Mobile no longer provide default voice mail pass codes; users must set their own. O2 and Vodafone will allow codes to be set only from the cellphones they supply. If that number is reset, the new code is also sent directly to the phone. Vodafone alerts customers if three failed attempts are made to enter the number, and O2 locks voice mail services.
Questo articolo spiega un metodo che non implica l'ipotesi o l'ingegneria sociale del PIN della posta vocale. Molti operatori di telefonia mobile sembrano configurare l'accesso alla casella vocale in modo che il PIN non sia necessario quando l'utente chiama dal proprio telefono cellulare. In questi casi, un utente malintenzionato deve semplicemente falsificare l'ID del chiamante (in modo che la chiamata sembri derivare dal telefono della vittima) e chiamare il numero di accesso alla segreteria telefonica. Lo spoofing dell'ID chiamante può essere realizzato utilizzando alcuni servizi VoIP e altri metodi.
Una contromisura contro questo attacco è che l'abbonato configuri la propria casella vocale per richiedere il PIN in tutti i casi, anche quando chiama dal proprio telefono.