Ένας αναλυτής ασφαλείας έχει επινοήσει έναν τρόπο να καταγράφει τα διαπιστευτήρια του Visual Voice Mail (VVM) σε συσκευές Android και στη συνέχεια να ακούει από απόσταση μηνύματα αυτόματου τηλεφωνητή χωρίς να το γνωρίζει το θύμα.
Ο ερευνητής ασφάλειας, Chris Talbot, ανακάλυψε το ελάττωμα στις 21 Ιουνίου 2021 και κατέθεσε το θέμα ευπάθειας στο CVE-2022-23835.
Το σφάλμα δεν είναι ένα ελάττωμα στο λειτουργικό σύστημα Android, αλλά μάλλον στον τρόπο υλοποίησης της υπηρεσίας από εταιρείες κινητής τηλεφωνίας.
Ωστόσο, το ελάττωμα έχει μια “αμφισβητούμενη” κατάσταση επειδή η AT&T και η T-Mobile απέρριψαν την αναφορά επειδή περιέγραψαν έναν μη εκμεταλλεύσιμο κίνδυνο, ενώ η Sprint και η Verizon δεν έχουν απαντήσει.
Παρόλο που αμφισβητείται η εκμεταλλευσιμότητα του ελαττώματος, το Κέντρο Συντονισμού CERT δημοσίευσε σήμερα τις λεπτομέρειες της ανακάλυψης του Talbot λόγω του πιθανού αντίκτυπου και της ύπαρξης δημοσιευμένου εργαλείου PoC (απόδειξη έννοιας) για την εκμετάλλευση του σφάλματος.
Το Visual Voice Mail είναι ένα σύστημα αυτόματου τηλεφωνητή που χρησιμοποιείται από πολλές εταιρείες κινητής τηλεφωνίας που επιτρέπει στους πελάτες να βλέπουν, να ακούν και να διαχειρίζονται φωνητικά μηνύματα με οποιαδήποτε σειρά.
Η χρήση της μεθόδου που ανακάλυψε ο Talbot αποτελεί σημαντική παραβίαση του απορρήτου, καθώς επιτρέπει σε ένα απομακρυσμένο άτομο να ακούει δυνητικά τα προσωπικά και σε πολλές περιπτώσεις ευαίσθητα μηνύματα κάποιου
