语音信箱系统漏洞允许攻击者拦截验证码、获取信箱内容

InTheCyber -情报 & 防护顾问（www.inthecyber.com）是攻防网络安全的领导者，其研发实验室发现一个新的危险漏洞可影响通信系统。
语音信箱来电显示欺诈是一种存在很久的漏洞，移动运营商会依据来电显示验证用户的身份允许其进入语言邮箱。攻击者可以伪造来电显示，冒充用户并获得语音信箱访问权。目前，意大利最大的两个移动运营商都遭受这种攻击。
当登录某些应用（如 Telegram、WhatsApp 和 Signal ）时会请求发送一个验证码短信，如果不及时输入验证码，国外通信服务会通过自动调用功能重新发送验证码至语音信箱。
根据用户的语音信箱的配置，在以下几种情况中，验证码会被发送到语音信箱:用户不回应、用户不可及和用户被占用。第一种场景，攻击者可以在夜间利用受害者的帐户请求一个验证码。第二种场景，攻击者可以向用户发送多个静默短信（ Silent-SMS ），判断电话是否断网离开通信网络，然后进行攻击。第三种场景，攻击者可以通过电话诈骗来保持电话占线。
除了，主叫来电显示欺诈，语音邮箱还可以通过 PIN 密码用其他设备登录。
如果你启用了重发未收到短信到语音信箱的通信业务，并且没有启用双因素身份验证，那么你很可能会受到这种欺诈攻击，导致账户被非法登录。

稿源：本站翻译整理，封面来源：百度搜索