image

Visual Voicemail-diensten versturen wachtwoorden onversleuteld via sms

vrijdag 25 februari 2022, 14:41 door Redactie, 3 reacties

Gebruikers van Visual Voicemail zijn gewaarschuwd, want dergelijke diensten versturen inloggegevens zoals wachtwoorden, gebruiksnamen en serverhost onversleuteld via sms. Een aanvaller die sms-berichten kan onderscheppen kan zo toegang tot voicemails krijgen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Visual Voicemail verscheen voor het eerst in iOS en is een combinatie van sms en imap. Het maakt het mogelijk om voicemails op de telefoon te downloaden en vervolgens in een programma weer te geven. Zodoende hoeft een gebruiker voicemailberichten niet achterelkaar af te luisteren. Wanneer een dergelijke client een status-sms verstuurt, zal de provider reageren met alle inloggegevens die nodig zijn om op de imap-server in te loggen.

Een aanvaller die de mogelijkheid heeft om sms-berichten te onderscheppen kan zo gebruikersnaam en wachtwoord in handen krijgen en voicemailberichten lezen. Het onderscheppen van sms zou volgens het CERT/CC op verschillende manieren kunnen, zoals tijdelijke toegang tot de simkaart, het gebruik van een malafide zendmast of de gebruiker een malafide app laten installeren die sms-toegang heeft.

Het CERT/CC stelt dat er geen praktische oplossing voor het probleem is. Wanneer mogelijk doen gebruikers er verstandig aan om periodiek hun wachtwoord te wijzigen en Visual Voicemail-data snel te verwijderen.

Reacties (3)
25-02-2022, 15:49 door Anoniem
Hoe zou je het versleuteld via SMS moeten versturen dan?
Dan maar weer per post in een enveloppe (onversleuteld)?
25-02-2022, 16:42 door Anoniem
Zolang het gekoppeld is aan een emailadres wat een 2e factor kan zijn en zelf over een 2FA kan beschikken, en nodig is om het wachtwoord te wijzigen, wat verplicht zou moeten bij eerste keer inloggen - zie ik het probleem niet. Het gaat om laagjes in security, dat moet op orde zijn.
26-02-2022, 12:15 door Anoniem
Door Anoniem: Hoe zou je het versleuteld via SMS moeten versturen dan?
Dan maar weer per post in een enveloppe (onversleuteld)?
Zoals je al weet kan dat natuurlijk niet. Kern van het probleem is dat 'ze' - volgens mij heeft Apple deze standaard bedacht voor de iPhone - een snelle oplossingen wilde. Daarbij worden privacy en security vaak aan de kant geschoven. Ook bij Apple, dat privacy en security vooral als marketing termen gebruikt.

Denk even aan een alternatieve oplossing:
1. De telefoon maakt een nieuw asymmetrisch (RSA/EdDSA) publiek-prive sleutelpaar aan. De telefoon maakt een self-signed certificaat aan met dit sleutelpaar.
2. De telefoon stuurt het certificaat, zonder de privesleutels, op per SMS naar Visual Voicemail.
3. Visual Voicemail stelt het certificaat in als client certificate en stuurt de IMAP server gegevens terug.
4. De telefoon logt in op IMAP met het self-signed certificaat.

Resultaat: geen gevoelige gegevens meer die per SMS over en weer verstuurd worden. Als ze bij Apple bij het bedenken van deze standaard hadden gedacht aan security, was dit nu geen probleem geweest. Of als ze ergens in de afgelopen 13 jaar hadden bedacht: misschien is dit toch niet zo veilig; dan was er nu ook geen probleem geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.