Des chercheurs de SRLabs, spécialisés en sécurité de l'information, ont signalé avoir identifié plusieurs vulnérabilités dans la mise en œuvre de la norme RCS (Rich Communication Services) utilisée par les opérateurs télécoms du monde entier. RCS est une nouvelle norme de messagerie destinée à remplacer les SMS.
Le rapport indique que les vulnérabilités découvertes permettent de suivre la localisation d'un appareil et d'intercepter les SMS et les appels vocaux. L'une d'elles, découverte dans l'implémentation RCS d'un opérateur télécom non identifié, pourrait être exploitée par des applications pour télécharger à distance un fichier de configuration RCS sur un smartphone, leur permettant ainsi d'élever leurs privilèges système et d'accéder aux appels vocaux et aux SMS. Une autre vulnérabilité affectait le code de vérification à six chiffres envoyé par l'opérateur pour authentifier l'utilisateur. Ce code autorisait un nombre illimité de tentatives, une faille que des attaquants pourraient exploiter pour deviner la bonne combinaison.
RCS est une nouvelle norme de messagerie qui prend en charge de nombreuses fonctionnalités offertes par les applications de messagerie modernes. Bien que les chercheurs de SRLabs n'aient identifié aucune vulnérabilité dans la norme elle-même, ils ont mis au jour de nombreuses failles dans la manière dont les opérateurs télécoms utilisent cette technologie en pratique. Selon certaines sources, au moins 100 opérateurs télécoms dans le monde, notamment en Europe et aux États-Unis, déploient actuellement RCS.
Source: 3dnews.ru
