Az SRLabs információbiztonság területén dolgozó kutatói arról számoltak be, hogy számos sérülékenységet sikerült azonosítaniuk a Rich Communication Services (RCS) szabvány megvalósítási módszereiben, amelyeket a távközlési szolgáltatók világszerte használnak. Emlékeztetjük Önöket, hogy az RCS rendszer egy új üzenetküldési szabvány, amelynek az SMS-t kell felváltania.
A jelentés szerint a feltárt sebezhetőségek segítségével nyomon követhető a felhasználó eszközének helye, lehallgathatók a szöveges üzenetek és a hanghívások. Egy névtelen szolgáltató RCS-megvalósításában talált problémát az alkalmazások felhasználhatják arra, hogy távolról letöltsenek egy RCS-konfigurációs fájlt az okostelefonra, ezáltal növelve a program rendszerjogosultságait, és lehetővé téve a hanghívásokhoz és szöveges üzenetekhez való hozzáférést. Egy másik esetben a probléma egy hatjegyű ellenőrző kód volt, amelyet egy szolgáltató küldött a felhasználó személyazonosságának ellenőrzésére. A kód beviteléhez korlátlan számú belépési kísérletet biztosítottak, amelyek segítségével a támadók kiválaszthatták a megfelelő kombinációt.
Az RCS rendszer az üzenetküldés új szabványa, és támogatja a modern azonnali üzenetküldők által biztosított számos funkciót. És bár az SRLabs kutatói magában a szabványban nem azonosítottak semmilyen sebezhetőséget, sok gyengeséget találtak a távközlési szolgáltatók gyakorlati használatában. Egyes jelentések szerint a világon jelenleg legalább 100 távközlési szolgáltató vezeti be az RCS-t, köztük Európában és az Egyesült Államokban.
Forrás: 3dnews.ru