Phone hacking
Voicemail hacking
De onbevoegde toegang op afstand tot voicemailsystemen, zoals het News International-schandaal aan het licht heeft gebracht, is mogelijk door zwakke plekken in de implementatie van deze systemen door telco’s.
Sommige PABX-systemen hebben een functie voor voicemail op afstand, die toegankelijk is door een wachtwoord in te voeren wanneer de begroetingstekst wordt afgespeeld. Een hacker kan een doorkiesnummer met voicemail bellen en vervolgens proberen het standaardwachtwoord te gebruiken of het te raden, of vervolgens de “terugbel”-functie selecteren en een betaalnummer invoeren voor het terugbellen. De PABX belt dan terug naar de premium tarieflijn en bevestigt het wachtwoord voor de hacker. Om deze vorm van hacken tegen te gaan, kan de terugbelfunctie op de PABX worden uitgeschakeld, of kan een sterk wachtwoord worden gebruikt.
De voicemailberichten van mobiele telefoons kunnen op een vaste telefoon worden opgevraagd door het invoeren van een persoonlijk identificatienummer (PIN). De serviceprovider stelt gewoonlijk een viercijferige standaardpincode in die zelden door de eigenaar van de telefoon wordt gewijzigd. Een hacker die zowel het telefoonnummer als de standaard PIN kent, kan toegang krijgen tot de voicemailberichten die bij die dienst horen. Zelfs wanneer de standaardpincode niet bekend is, kan social engineering worden gebruikt om de voicemailpincode te resetten naar de standaardpincode door zich voor te doen als de eigenaar van de telefoon door een callcenter te bellen. Veel mensen gebruiken ook zwakke PIN-codes die gemakkelijk te raden zijn. Om te voorkomen dat abonnees PIN-codes met een zwakke wachtwoordsterkte kiezen, verbieden sommige mobiele-telefoonbedrijven nu het gebruik van opeenvolgende of herhalende cijfers in voicemail PIN-codes.
In het midden van de jaren 2000 werd ontdekt dat oproepen vanaf de handset die op een voicemailaccount waren geregistreerd, rechtstreeks naar de voicemail werden doorgeschakeld zonder dat daarvoor een PIN-code nodig was.
Na de controverses over telefoonhacking en de kritiek op providers van mobiele telefonie die toegang tot voicemail zonder pincode toestonden, hebben veel providers de standaardbeveiliging van hun systemen aangescherpt, zodat toegang op afstand tot voicemailberichten en andere telefooninstellingen niet langer mogelijk is, zelfs niet via een standaardpincode. AT&T kondigde bijvoorbeeld in augustus 2011 aan dat alle nieuwe draadloze abonnees een PIN zouden moeten invoeren bij het controleren van hun voicemail, zelfs wanneer ze deze vanaf hun eigen telefoon controleren, terwijl T-Mobile verklaarde dat het “aanbeveelt dat u uw voicemailwachtwoord inschakelt voor extra beveiliging, maar zoals altijd is de keuze aan u.”
Handsets
Een analyse van door gebruikers gekozen pincodes suggereerde dat tien getallen 15% van alle iPhone-wachtwoorden vertegenwoordigen, waarbij “1234” en “0000” de meest voorkomende zijn, met geboortejaren en afstuderen ook veel voorkomende keuzes zijn. Zelfs als een viercijferige pincode willekeurig wordt gekozen, is de sleutelruimte zeer klein ( 10 4 {\displaystyle 10^{4}}
of 10.000 mogelijkheden), waardoor pincodes aanzienlijk eenvoudiger te kraken zijn dan de meeste wachtwoorden; iemand met fysieke toegang tot een handset die met een pincode is beveiligd, kan de pincode dus gemakkelijk in korte tijd achterhalen.
Microfoons van mobiele telefoons kunnen op afstand worden geactiveerd door veiligheidsdiensten of telco’s, zonder dat fysieke toegang nodig is, zolang de batterij niet is verwijderd. Deze “zwervende afluisterapparatuur” wordt door rechtshandhavingsinstanties en inlichtingendiensten gebruikt om gesprekken in de buurt af te luisteren.
Andere technieken voor het hacken van telefoons zijn het verleiden van een gebruiker van een mobiele telefoon tot het downloaden van malware die de activiteit op de telefoon in de gaten houdt. Bluesnarfing is ongeoorloofde toegang tot een telefoon via Bluetooth.
Anderen
Er zijn gebreken in de implementatie van het GSM-encryptie-algoritme die passieve interceptie mogelijk maken. De benodigde apparatuur is beschikbaar voor overheidsinstanties of kan worden opgebouwd uit vrij verkrijgbare onderdelen.
In december 2011 onthulde de Duitse onderzoeker Karsten Nohl dat het mogelijk was om spraak- en sms-berichten van mobiele telefoons op veel netwerken te kraken met gratis ontsleutelingssoftware die op internet beschikbaar is. Hij beschuldigde de mobiele telefoonbedrijven ervan te vertrouwen op verouderde versleutelingstechnieken in het 2G-systeem, en zei dat het probleem heel gemakkelijk kon worden opgelost.