Даследнікі з SRLabs, якія працуюць у сферы інфармацыйнай бяспекі, паведамілі аб тым, што ім удалося выявіць шэраг уразлівасцяў у спосабах укаранення стандарту Rich Communication Services (RCS), якія выкарыстоўваюцца аператарамі сувязі ў розных краінах свету. Нагадаем, сістэма RCS уяўляе сабой новы стандарт абмену паведамленнямі, які павінен прыйсці на змену SMS.
У справаздачы гаворыцца аб тым, што выяўленыя ўразлівасці могуць выкарыстоўвацца для адсочвання месцазнаходжання карыстацкай прылады, перахопу тэкставых паведамленняў і галасавых выклікаў. Адна з праблем, выяўленая ў рэалізацыі RCS неназванага аператара сувязі, можа выкарыстоўвацца праграмамі для выдаленай загрузкі файла канфігурацыі RCS на ваш смартфон, падвышаючы такім чынам прывілеі праграмы ў сістэме і адчыняючы доступ да галасавых выклікаў і тэкставых паведамленняў. У іншым выпадку праблема датычылася шасцізначнага праверачнага кода, які аператар сувязі адпраўляў для праверкі асобы карыстальніка. На ўвод кода давалася неабмежаваная колькасць спроб уводу, што можа выкарыстоўвацца зламыснікамі для падбору дакладнай камбінацыі.
Сістэма RCS уяўляе сабой новы стандарт абмену паведамленняў і падтрымлівае шматлікія функцыі, якія прадстаўляюцца сучаснымі месэнджарамі. І хоць даследнікі з SRLabs не выявілі якія-небудзь уразлівасцяў у самім стандарце, было знойдзена нямала слабых месцаў у тым, як аператары сувязі выкарыстаюць тэхналогію на практыку. Па некаторых дадзеных, укараненне RCS у цяперашні час ажыццяўляюць не менш за 100 аператараў сувязі па ўсім свеце, у тым ліку ў Еўропе і ЗША.
Крыніца: 3dnews.ru