web-dev-qa-db-ja.com

発信者番号のなりすましが簡単で、違反者を捕まえるのが難しいのはなぜですか。

ユーザーが受信者の情報と偽の発信者の情報を入力できるようにするソフトウェアはたくさんあり、ソフトウェアは発信者IDのなりすましを完了します。テレフォニースタックが発信者IDに関してスプーファーに対して非常に脆弱である理由、および犯罪者がキャッチするのが非常に難しい理由を理解しようとしています。

テレフォニープロトコルへの正式な接触は最小限です。エクスプロイトがどのように機能するかについてはある程度理解しています。私の知識の大部分は、次のように要約できます。「電話システムはある種の規格で動作するはずであり、発信者ID機能はその規格の(定義されていない場合でも)少なくとも一部でなければなりません。」

私はnotの段階的な活用手順を探していますが、これを可能にする弱点の種類(およびプロトコル)について理解を深めています。

15
user3.1415927

簡単な答えは、これは脆弱性とは見なされないということです。プロトコルスタックは呼び出し元を認証するようには設計されていません。

@schroederの 発信者IDのWikipediaリンク から:

さらに、スイッチによって送信された番号が、呼び出しが発信された実際の番号であることを保証するものはありません。通話を開始する電話交換機は、発信者IDとして必要な任意の数字列を送信できます。

世界中でさまざまな実装が存在しますが、(特に)最近の実装でも、実際のIDを別のIDに置き換える機能があります。

これの背後にある理由はほぼ完全に歴史的です-呼び出しが物理的に発信者と受信者の間のケーブルを接続する人間のオペレーターによって通話が完了した日にさかのぼります。 IDは必要ありませんでした。オペレーターが遠隔地または国にいる別のオペレーターに接続する必要がある場合、他のオペレーターに受信者IDであることを通知する必要があるのはすべてです。

それが近代化され、機械が人間のオペレーターに取って代わったので、プロセスは同じでした-発信者はすでに接続されているため、受信者IDに基づいて接続が構築されました。

トラフィックがアナログ回線ではなくIPを介して継続的に移動しているため、電話会社が識別情報を利用できるようになっているため、ID情報を利用できるようになる時期が来ますが、電話会社が許可するビジネスモデルがあるようです。なりすましIDの代金を支払う会社、およびその中にお金がある限り、サービスがなくなる可能性は低いです。

5
Rory Alsop