VOIP电话的窃听警告

VOIP电话的窃听警告

公司企业使用的VoIP电话设备绝大多数都使用默认密码或者根本没有设置任何保密措施，这就给隐蔽监视和电信欺诈犯罪者留下了可乘之机。

发出这条警告的是一家叫Icebook的英国公司首席信息安全官保罗摩尔（Paul Moore）。Paul声称很多CISCO（美国思科）和SNOM（德国Snom Technology AG，2016年被香港伟易达Vtech收购）这类VoIP设备如果使用的是默认安全设置，利用几行简单的JavaScript编码就可以被盗用，但作者拒绝公布代码内容。一旦攻击成功，攻击者可以监视或重新设置所有通话路径，通过暗中激活内置在VoIP电话内的窃听器来窃听本地通话、或上传恶意软件。还可以发动其他潜在攻击。

这种概念验证JavaScript攻击时使用了电话的已知IP，而在真正的网络攻击中，攻击者对电话IP是未知的，要对近20条线路进行错误验证。（这次演示）目的不是为了给供给提供便利，而是希望引起重视，因为这种攻击太简单了。

Snom和Cisco都没有对此作出任何回应。

英国萨里大学计算机科学教授阿兰伍德沃德（Alan Woodward）告诉ISMG（Information Security Media Group，美国信息安全媒体集团）“这应当引起那些急于建立VoIP电话系统的大型组织的重视。”

VoIP黑客绕过防火墙概念验证

为了展示VoIP设备因使用默认证书所构成的威胁，摩尔对使用默认设置的一台8.7.5.13版本软件的Snom 320 VoIP电话进行了一次概念验证攻击，被攻击时公司防火墙处于开启状态。攻击骗过了使用相同网络的一台设备访问恶意JavaScript所在的主机。

 “为使攻击行为获得成功，被攻击的PC必须能够与VoIP设备通话……可以通过WAN/LAN或VLAN，取决于网络设置，”摩尔介绍到。“如果PC和电话在不同物理或虚拟网络中，没有直接进入彼此的网络，攻击可能失败。”

https://www.youtube.com/watch?v=mavwngM52Tc  （YOUTUBE视频网址）

PwnPhone攻击Snom 320视频演示，使用默认设置，可能被隐蔽监视或电信诈骗手段利用。

摩尔还说，他已将相关易损性细节分享给了Snom，并指出攻击同样适用于一些Cisco VoIP设备。Cisco已确认一种类似的名为CVE-2015-0670的易损性可以对一些Cisco小型商务IP电话造成影响，但至今尚未发布补丁。

摩尔还提出了另一种警告，由于Snom设备可设置静音，因此造成实施中攻击的设备被隐藏。而Cisco设备可以发光，从而对隐患作出提示。另外，Snom设备软件支持远程闪现，而Cisco设备不支持。

危险的默认设置

摩尔认为他制作的概念验证可以为他最近审计的企业更好地保护接入点和VoIP电话部署提供建议。他没有说明公司的名字，但指出该公司建立了Cisco、Snom和Ubiquiti企业级网络系统。

这已经不是安全专家第一次对使用物联网设备默认设置提出警告。“默认设置的目的是为了将一台设备的设置回到初始状态，帮助系统建立者根据客户需求进行系统配置”，摩尔介绍到。Snom设备在默认设置状态下不要求任何身份验证即可接管对设备的控制，设备初始设置页面会闪现出一个小警告弹窗：“HTTP Password not set!（HTTP密码未设置）！”但设置未要求继续设置密码。而系统设置甚至接受单字符作为有效密码。

那么针对不安全的默认设置进入权限可能造成那些破坏呢？“实际上什么都能做。通话、接话、转移呼叫（设置在来点之前）、播放记录、上传新软件……最重要的是，使用设备进行隐蔽监视。”

针对电话系统基础设施的攻击行为

针对企业电话基础设施的攻击行为早在VoIP系统以前的用户交换机（PBX）时代就开始了。“我调查过一些系统电话答录机使用默认设置被用于拨打收费电话的案例”，伊安达灵顿，一名目前就职于通过推特（Twitter）提供网络安全调查服务的公司CyberCSI的退休警官这样说到。

此类诈骗案件不易侦探。“这种保险费率黑客行为几乎都只发生在下班时间，也就是说，没有人办公的时候。因此一般只能当首次收到费用提示时才会被发现。”伍德沃德说，他在自己的博客帖子中就网络安全对欧盟执法部门情报机构欧洲刑警组织（Europol）提出过建议。“他们可能很贪，但是这些罪犯不笨……当然，有些黑客真的很卑鄙，他们会将听筒范围内的音频录制下来并进行敲诈。”

攻击者还可以利用默认设置或缺失访问凭证之外的漏洞。例如，网络安全顾问公司Nettitude2015年6月调查显示，2015年头三个月针对VoIP设备的攻击呈上升趋势，不仅针对大多数VoIP呼叫都会使用的，通过IP网络处理声音、图像和即时信息的会话初始化协议（SIP）。其实，攻击者也将目标瞄准了设备使用的其他协议，诸如HTTP（超文本传输协议），Web Proxies（代理服务器），telnet（远程登录协议）和RDP（远程桌面协议）。

“我们真的应该小心电话运行这些程序”伍德沃德说到。

VoIP攻击：如何防御

为了更好地防范针对VoIP设备的攻击行为，默认提出了四条建议：

1.使用复杂密码并将其存储在密码管理器中

2.如果可能的话，只在分段是网络中使用电话，如，通过虚拟局域网（VLAN）

3.限制接入所有设备的应用程序接口（API），“甚至只是用内部网络的设备也要如此，”他说到。

4.定期未设备软件升级，但是要注意程序更新引起的设备还原“默认”设置状态。

搜索引擎“Shodan”风险

由于VoIP设备通常与公共网络连接，攻击者可以通过搜索引擎Shodan做索引，这种攻击手段专用来寻找特定类型的互联网连接设备和配置。他可以通过互联网扎到并接入接入那些正在使用有软件版本漏洞的VoIP设备，比如默认设置漏洞。

伍德沃德还说，由不安全VoIP设备引发的风险可以作为一个提示，他告诉我们任何互联网连接的“物品”都可能被误用。有句老话叫做：“任何麦克风都要当做是处于工作状态下”，他说，“也许不用太过紧张，但是如果你的桌面电话是一台VoIP电话，那你就应该把它当成是一台电脑或是一台智能手机。他很有可能被黑客在任何正确，或是错误的条件下入侵。注意安全漏洞补丁并确保其处于开启状态，请不要让你的VoIP电话成为安全环境中的薄弱环节。”

我们的免费服务热线：

400-855-1008