Ny sårbarhet hos Tele2 – så enkelt är det att hacka din röstbrevlåda

2019-12-03 06:00  

Det tar bara minuter att lyssna av alla meddelanden som någon lämnat i röstbrevlådan hos en Tele2-kund. Ny Teknik kan avslöja att operatören, med 3,9 miljoner mobilkunder i Sverige, återigen har sårbarheter i sitt mobilsvar.

Det är bara några klick bort att via en tjänst på nätet förfalska sitt telefonnummer och sedan bryta sig in i en röstbrevlåda hos Tele2. Utan att behöva ange någon pin-kod går det att lyssna av alla meddelanden, och gå in i menyer för att exempelvis ändra hälsningsfras.

Nyheten kanske låter bekant, för i mars i år skrev Dagens Nyheter om hur enkelt de kunde hacka sig in hos Tele2:s kunder. Kort därpå åtgärdade operatören problemet. Men nu kan Ny Teknik avslöja en ny sårbarhet, som åter igen gjort det möjligt att lyssna av röstmeddelanden utan pinkod.

Tekniken vi använder kallas för ”spoofing”. Den går ut på att simulera att du ringer från någon annans telefonnummer. Det finns ett flertal tjänster på nätet som för några kronor låter dig ringa sådana fejksamtal. Det tar bara ett par minuter att registrera sig, och börja ringa. Allt du behöver fylla i är vilket nummer du vill ringa, och vilket nummer som ska synas på mottagarens nummerpresentatör.

Läs mer: Här är 6 av världens säkraste smarta mobiler

Ny Teknik har med hjälp av säkerhetsexperten Per Thorsheim, som upptäckt sårbarheten, testat metoden. Vi hittar en kollega med Tele2-abonnemang som godkänner intrånget och skickar över hans mobilnummer. Ett par minuter senare kommer beskedet:

– Jag kom rakt in på hans mobilsvar, skriver Per Thorsheim i chattappen, och refererar kort det meddelande vi har spelat in som test.

– GALET, tillägger han sedan.

Tele2 har kunder i åtta länder

Om angriparen gör på rätt sätt kommer offret aldrig att märka att röstbrevlådan har avlyssnats. Du kan läsa mer om metoden i faktarutan längst ned.

Efter att vi under fredagseftermiddagen har bekräftat sårbarheten hör Ny Teknik av sig till Tele2 och berättar om upptäckten. På måndagsmorgonen får vi beskedet att säkerhetsbristen är åtgärdad.

– Den här sårbarheten omfattade den del av våra kunder som har sina röstbrevlådor på en av våra tekniska plattformar och som inte har skyddat sin röstbrevlåda med en obligatorisk pinkod för all form av inloggning, skriver Fredrik Hallstan som är kommunikatör på Tele2 i ett mejl till Ny Teknik.

Tele2 har mobilkunder i åtta länder, men det är bara svenska användare som har påverkats av sårbarheten. De som har ställt in så att det krävs en pinkod för att nå röstbrevlådan även när du ringer från eget nummer har dock varit skyddade, enligt Tele2. Hur många användare det rör sig om vill företaget inte kommentera.

Efter att Ny Teknik påtalat den nya sårbarheten har Tele2 infört obligatorisk pinkods-kontroll för alla som ringer till röstbrevlådan, förutom via kortnumret 222. Då kan rätt identitet bekräftas ändå, eftersom samtalet sker inom det egna mobilnätet.

– Vi utreder just nu om det finns några fall där någon har olagligen lyssnat av någon kunds röstbrevlåda. Om så är fallet kommer vi naturligtvis att rapportera detta till PTS [Post- och telestyrelsen, reds. anm.] enligt gällande föreskrifter, skriver Fredrik Hallstan.

Bolagets loggfiler för vem som haft åtkomst till röstbrevlådor sträcker sig dock bara 30 dagar tillbaka i tiden. Eventuella äldre intrång går därför inte att utreda.

Läs mer: Sectra bygger några av världens säkraste mobiltelefoner

Efter två sårbarheter på ett år, hur kan man som Tele2-kund lita på att innehållet i ens röstbrevlåda förblir säkert?

– Man kan lita på Tele2 och att vi alltid tar detta på största allvar och kontinuerligt jobbar med att hitta säkerhetsluckor som potentiellt kan drabba våra kunder. Dessutom informerar vi kontinuerligt våra kunder om vikten av att skydda sin röstbrevlåda med en pinkod. 

Att komma åt röstbrevlådor via spoofade telefonnummer är en metod som är väl känd sedan tidigare. Det var bland annat så den brittiska skandaltidningen News of the World under många år kunde avlyssna den brittiska kungafamiljen och anhöriga till brottsoffer. En historia som avslöjades 2006 och till slut ledde till att tidningen gick i graven.

Men trots att det alltså är väl känt sedan länge att mobilsvar är sårbart för spoofingattacker är Tele2 inte den enda mobiloperatören som har kvar liknande säkerhetshål.

”Annan typ av teknisk lösning”

Per Thorsheim har tidigare avslöjat precis samma sårbarhet i Telenors system i Norge och Danmark, något den norska tekniksajten Digi.no rapporterade om förra veckan. Samma sak gäller för Telias danska kunder, rapporterar Version2.dk. Operatören bedömer att de har varit sårbara för den typen av attacker i över tio år.

I Telenor-fallet ska dock inga svenska kunder ha drabbats, eftersom Telenor Sverige använder sig av ett helt annat it-system för mobilsvar.

– Vi har en annan typ av teknisk lösning på plats i Sverige och har inte varit utsatta för samma sårbarhet. Vi har inte heller några indikationer på att något liknande har genomförts mot vårt system, säger Telenors presschef Mikko Viitala till Ny Teknik.

Att det finns så många fall av den här typen av sårbarheter tror han beror på ett underliggande problem. Många av de standarder som satts för mobilnätet är förlegade.

– Det grundläggande problemet, som du inte kan lasta operatörerna för, är GSM-standarden. I USA, där man har ett extremt stort problem med robocalls [automatiskt uppringda reklamsamtal, reds.anm] och där finns en ny standard som flera operatörer är i färd att implementera. Men inga operatörer i Europa har infört den ännu vad jag vet, säger Per Thorsheim.

Protokollet kallas för STIR/SHAKEN och innehåller ett slags autentiseringssystem som gör att det inte längre går att fejka vilket telefonnummer du ringer ifrån.

Så här gick hacket till

För att hacka röstbrevlåda hos Tele2 behövdes en så kallad spoofing-tjänst så att du kan simulera att du ringer från någon annans telefonnummer.

Det finns flera sådana tjänster och appar, och ofta kostar det några kronor i minuten att ringa från ett fejkat telefonnummer.

Så här gick vi till väga, steg för steg:

1. Först tar vi reda på telefonnumret till ”A” som har ett Tele2-abonnemang.

2. Via en så kallad spoofing-tjänst på nätet får vi det att se ut som att vi ringer med ”A”:s telefonnummer.

3. Vi ringer sedan till ”A”:s mobil. På skärmen ser det ut som att samtalet kommer från hans eget telefonnummer.

4. ”A” låter telefonen ringa tills samtalet kopplas vidare till röstbrevlåda.

5. Röstbrevlådan tror att det är ”A” själv som ringer, och vi kommer åt alla meddelanden utan att behöva ange ”A”:s pin-kod.

Via vissa spoofingtjänster går det dessutom att dölja spåren efter intrånget. Den tjänst som Per Thorsheim använt har en funktion där samtalet kopplas direkt till röstbrevlådan.

Då ringer det aldrig på ”A”:s mobil, och hen får aldrig reda på att någon varit inne och lyssnat av mobilsvaret.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt