In der aktuellen Diskussion um unserer digitalen Privatsphäre, habe ich in letzer Zeit immer öfter das Argument gehört: “Eine Vorratsdatenspeicherung lässt sich durch Nutzung von VoIP Telefonen verhindern oder erschweren.”
Das ist richtig. Der Beobachter sieht in diesem Fall höchsten IP Adressen. Daraus nachzuvollziehen, wer wann mit wem telefoniert hat wird wirklich schwierig.
Aber VoIP selbst bietet einem potentiellen Lauscher eine Reihe von Angriffsvektoren. Hacker .mario von GNUCitizen. berichtet beispielsweise jüngst von einer Sicherheitslücke im Webinterface des populären Herstellers snom.
Dieses Sicherheitsloch erlaubt das “Calljacking” des angegriffenen VoIP-Telefons. Über den Angriff erlangt der Eindringling die Kontrolle über das VoIP Telefon. Bei jedem Telefongespräch kontaktiert das gekaperte VoIP-Telefon brav den Lauscher und lädt diesen zum unbemerkten Mithören und Aufzeichnen ein.
2 comments so far
Hi!
Anzumerken bleibt aber, dass die Jungs von Snom mehr ausgezeichnet reagiert haben. Neben guter Kommunikation bezüglich der bestehenden Probleme sind im Gespräch vernünftige Lösungsansätze entstanden - die auch übergreifend umgesetzt werden - vom XSS Schutz über eine security@snom.com Mail-Adresse und einen Setup-Wizard, der kritische Komponenten per default deaktiviert.
Das bald kommende FW Upgrade wird die existierenden Flaws laut Snom beheben.
Ach ja - und es heißt “Calljacking” ;) - sorry für den Oberlehrer.
VG,
.mario
Danke, den Calljacker Typo habe ich korrigiert. Das Snom gut reagiert hat spricht für deren Management.
Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>