Vulnerabilidades no tan extrañas
Leo en VoipNovatos (ahora que Alberto ha sacado algo de tiempo para escribir algo) que el GrandStreamGrandstream Grandstream Networks es una empresa reconocida por desarrollar y fabricar soluciones de comunicación unificada y seguridad. Fundada en 2002, ofrece productos como teléfonos VoIP, PBXs, cámaras de seguridad, y gateways de voz y video, dirigidos a negocios de todas las escalas. Destaca por su innovación y excelente relación calidad-precio.
Página web de Grandstream
Artículos de Grandstream
GXV-3000 tiene una vulnerabilidad que permite a un supuesto atacante escuchar una conversación sin necesidad de descolgar el teléfono.
He leído detenidamente el reporte de la vulnerabilidad y por lo visto está afectada la versión de firmware 1.0.1.7.
No hace mucho, comprobé que algunas centralitas digitales tenían una «feature» llamada Intercom (no confundir con el servicio de Telefónica) y en diferentes modelos, estas no producían ni un triste bip para indicar que te podían escuchar.
La utilización de este servicio consistía en que cuando pulsabas el botón de Intercom junto con una extensión, el teléfono destino pasaba a modo manos libres y auto-answer, de manera que el que llamaba podía hablar y la otra persona no tenía ni que descolgar para que la escucharan.
De hecho, son muchas las películas en las que aparece alguien pulsando un botón (el de intercom) y pudiendo escuchar como otras personas lo criticaban, por lo que esta vulnerabilidad no es tan rara, en algunas centralitas tradicionales se llama «feature» 😀
Es cierto que, en este caso, se considera un fallo ya que no es un comportamiento esperado, pero visto el escándalo montado sobre la seguridad tan solo quería dar a entender que eso lleva bastante tiempo haciéndose en sistemas no tan antiguos y con absoluta normalidad.
