语音命令崩溃银行电话线

一位安全研究员演示通过按键和语音命令攻击交互式话音响应系统(IVR),成功关闭电话系统的按键音和语音激活,甚至诱使其公开敏感信息。在测试中,一家匿名印度银行的电话系统披露了客户的PIN码。研究人员称,SQL盲注攻击和缓冲溢出攻击可适用于几乎任何IVR系统,没有银行或企业组织测试过IVR系统,它们以为它是安全的,但事实上它并不安全,没有防火墙或验证码监视语音流量。攻击针对的是双音多频信号算法,它能将用户指令转换成操作,如从数据库中提取出客户银行记录。数据库的弱点可被电话发出的语音指令利用,如导致其缓冲溢出。


你可能感兴趣的:(Security)