Telebankieren plat te leggen met één telefoontje
Met gemanipuleerde audio-input PBX en IVR systemen is het mogelijk om onder meer telebankieren plat te leggen of data te laten lekken. Dat claimt hacker Rahul Sasi.
Denial of service via piepjes
Sasi ontdekte kwetsbaarheden in het DTMF systeem (Dual-Tone Multi Frequency). Een voorbeeld van DTMF is het welbekende keuzemenu. Wanneer een gebruiker een toets indrukt, geeft deze een bepaalde toon (frequency) door, die wordt herkent door de backend. Algoritmes op de server vertalen deze frequencies dan naar data.
Het lukte Sasi door eindeloos te variëren met niet geldige audio-input om het systeem plat te krijgen. Veel PBX- en IVR systemen hebben namelijk geen of gebrekkige inputvalidatie, althans dit blijkt.
Banken, voicemail en handsfree
Zulke audioverwerkingsalgoritmes worden ook gebruikt bij telebankieren, helpdesks, voicemail, telestemmen of handsfreesystemen in de auto. De applicatie kan crashen door één telefoontje te plegen met een ongeldige audio-input. Het systeem kan hiermee ook worden gemanipuleerd om vertrouwelijke data terug te spelen naar de hacker. Sasi heeft zijn bevindingen gepresenteerd op het Hack in de Box-conferentie in Maleisië, getiteld: “How I DOS’ed my Bank”.