Zoals een gemanipuleerd http-pakketje een slecht geconfigureerde webserver kan omleggen, zo kunnen 'audiopakketjes' veelgebruikte telefoniesystemen van banken en bedrijven aanvallen, platleggen of zelfs privacygevoelige data laten uitspugen. Dat claimt hacker Rahul Sasi, meldt The Register.

Denial of service via piepjes

Sasi ontdekte kwetsbaatheden in het zogenaamde Dual-Tone Multi-Frequency (DTMF) systeem, waarmee via de telefoontonen van toetsen opdrachten kunnen worden verstuurd. Een voorbeeld van DTMF is het welbekende keuzemenu. Als de gebruiker een toets indrukt, herkent de backend niet het nummer, maar de toon. Elke toets heeft een eigen frequentie, die door algoritmes op de server weer worden omgezet naar data.

Door eindeloos te variëren met niet-geldige audio-input via fuzzing, lukte het Sasi om systemen plat te krijgen. Veel PBX- en IVR (interactive voice response) systemen hebben namelijk geen of gebrekkige inputvalidatie, zo blijkt.

Banken, voicemail, handsfree

Dergelijke audioverwerkingsalgoritmes worden gebruikt bij telebankieren, helpdesks, voicemail of telestemmen of handsfree-systemen in de auto.

Eén telefoontje met ongeldige audio-input kan daarom leiden tot een crash van de hele applicatie. In een ander scenario wordt een systeem zodanig gemanipuleerd, dat het vertrouwelijke data terug gaat sturen naar de 'telefoonhacker'.

Sasi presenteerde zijn bevindingen, getiteld “How I DOS'ed My Bank" op het Hack in the Box-conferentie in Maleisië.