据安全厂商Secure Computing称，安全研究人员发现一种通过VoIP客户端软件实施跨站脚本攻击(XSS)的方法，提出了几乎没有人防备的一种危险的新威胁。

　　Secure Computing负责战略用户的副总裁Paul Henry称，这是我们第一次看到用来对VoIP实施攻击的Web 2.0安全漏洞。很少有人过滤在SIP协议上传输的VoIP通讯，因为人们不想降低网络的性能。因此，这种攻击正在增长。

　　Henry称，问题出在使用会话起始协议(SIP)的VoIP桌面客户端软件上。安全研究人员在10月8日发现了这个安全漏洞并且在互联网上发表了解释这个安全漏洞的概念证明代码。安全研究人员在Linksys VoIP产品中发现了这个安全漏洞。Henry到目前为止还不知道利用这个安全漏洞对真正的用户实施攻击的情况。但是，他说，由于概念证明代码已经发表了，攻击的出现只是时间问题。

　　Henry表示，这只是冰山的一角。我非常担心VoIP安全，因为大多数使用VoIP的人都是为了省钱，很少考虑到安全问题。

　　Henry称，在没有给厂商机会修复这个安全漏洞之前公布安全漏洞是不负责任的。然而，一些研究人员称，他们提前公布安全漏洞是为了提高人们的风险意识，因为厂商对安全漏洞的反应是缓慢的。

　　据Henry称，这种跨站脚本攻击可能被用来在用户计算机上安装软件，让黑客记录和监视VoIP电话。以窃取金融信息为动机的黑客可能会监听大型上市公司首席财务官的谈话，了解在股票交易中有用的信息。

　　Henry表示，这种攻击还能够攻击大众用户，通过安装键盘记录软件窃取用户名、口令和其它信息，帮助犯罪分子攻击银行账户。

　　虽然这个报道的安全漏洞与Linksys公司有关，但是，Henry认为，这个安全漏洞也会扩展到大多数厂商。目前市场上的产品太多。我认为厂商在开发这些产品的时候并不总是首先考虑安全的。

　　这个负担就落到了应用VoIP系统的人们身上。他们要安装一种产品，检查入网的通讯并且封锁恶意的脚本。

微信公众号

TechTarget

官方微博

TechTarget中国