Nyheter

Nytt SMS-alternativ 'RCS Standard' utsetter brukere for sikkerhetstrusler

Nytt SMS-alternativ 'RCS Standard' utsetter brukere for sikkerhetstrusler

Å erstatte den vanlige SMS-en med RCS eller Rich Communication Services, gjør brukere sårbare for tekstbaserte angrep, samtaleavlytting, posisjonssporing og mer, ifølge ny forskning.

RCS-standarden (Rich Communication Services) er en erstatning for SMS som inkluderer funksjoner som lesekvitteringer, muligheten til å sende media osv..

Mens den nye SMS-standarden ikke iboende er feil, opplyser forskere ved SLabs at operatørnettverk utsetter brukerne for en rekke sikkerhetstrusler ettersom de implementerer RCS i stor skala.

Siden det ikke er en enhetlig standard, kan store teleselskaper benytte den annerledes og gjøre feil i prosessen, skriver Vice.

Hva er RCS?

RCS er en protokoll som snart vil erstatte standard SMS. Mens den ble til i 2007, fikk den knapt noen anerkjennelse før 2018, da Google kunngjorde at de jobber med store operatører for å bringe RCS-protokoll til Android-enheter..

Den nye standarden vil gjøre det mulig for brukere å starte gruppechatter, sende bilder med høy oppløsning, lyd - egentlig alle funksjonene til populære chat-tjenester som iMessage og WhatsApp.

Hva er problemet??

For undersøkelsen tok SLabs-teamet eksempler på SIM-kort fra forskjellige operatører og lette etter RCS-relaterte domener. Videre prøvde teamet å finne sikkerhetsfeil i hver.

Forskerne oppdaget problemer i hvordan telekom sender RCS-konfigurasjonsfilene til enheter. For eksempel gir en server den nøyaktige konfigurasjonsfilen ved å identifisere IP-adressene.

Karsten Nohl fra SLabs fortalte at enhver app kunne be om filen, med eller uten tillatelse, siden de også bruker IP-adressen. "Så nå kan alle apper få brukernavnet og passordet til alle tekstmeldingene og alle taleanropene dine."

Forskerne fant også sikkerhetsavvik i autentiseringsprosessen. For eksempel sender et telekom en unik autentiseringskode for å verifisere identifikasjonen til RCS-brukeren. Siden transportøren gir et "ubegrenset antall prøver", kan dårlige skuespillere omgå autentiseringen med ubegrensede forsøk.

Transportnettverk svar

På spørsmål om å kommentere forsikret Vodafone brukerne om at de ville ta sikkerhetstiltak for å beskytte RCS-tjenestene. I mellomtiden rettet AT&T og Sprint bekymringene til GSM Association (et handelsorgan for telekom)

GSM sa til Vice at mens de setter pris på SLabs innsats for publikum, er sikkerhetsspørsmålene; imidlertid inkluderer forskningen "ingen nye sårbarheter" som kroppen ikke var klar over.

SLabs-forskerne vil rapportere sine funn på Black Hat desember-konferansen i Europa.

Les også: Kina forbyr utlegging av Deepfakes uten riktig avsløring
Reivew AUKEY CB-C70 Type-C USB Hub 5-i-1 med trådløs lader
USB Type-C-hubber er gode enheter å ha når du legger til porter i de fleste ting som har en Type-C-kontakt, inkludert Android, MacBook Pro, Chromebook...
Slik tilbakestiller du eller oppdaterer fastvare på en Android TV-boks
Hvert så ofte trenger en Android TV-boks en tilbakestilling av fabrikken eller firmwaren oppdateres, noe som er enkelt å gjøre med noen få trinn. Hv...
Slik bruker du Android-telefonen din som en USB WiFi-adapter
Det er enkelt å bruke en Android-smarttelefon eller et nettbrett som et WiFi-adapter. Det fungerer bra som en rask løsning for en stasjonær datamaski...