Pētnieki no SRLabs, kas strādā informācijas drošības jomā, ziņoja, ka viņiem izdevies identificēt vairākas ievainojamības Rich Communication Services (RCS) standarta ieviešanas metodēs, kuras izmanto telekomunikāciju operatori visā pasaulē. Atgādināsim, ka RCS sistēma ir jauns ziņojumapmaiņas standarts, kam vajadzētu aizstāt SMS.
Ziņojumā norādīts, ka atklātās ievainojamības var izmantot, lai izsekotu lietotāja ierīces atrašanās vietai, pārtvertu īsziņas un balss zvanus. Vienu problēmu, kas konstatēta nenosaukta operatora RCS ieviešanā, lietotnes var izmantot, lai attāli lejupielādētu RCS konfigurācijas failu viedtālrunī, tādējādi palielinot programmas sistēmas privilēģijas un ļaujot piekļūt balss zvaniem un īsziņām. Citā gadījumā problēma bija saistīta ar sešu ciparu verifikācijas kodu, ko pārvadātājs nosūtīja, lai pārbaudītu lietotāja identitāti. Koda ievadīšanai tika nodrošināts neierobežots ievades mēģinājumu skaits, ko uzbrucēji varēja izmantot, lai izvēlētos pareizo kombināciju.
RCS sistēma ir jauns ziņojumapmaiņas standarts, un tā atbalsta daudzas mūsdienu tūlītējās ziņojumapmaiņas iespējas. Un, lai gan pētnieki no SRLabs nekonstatēja nekādas ievainojamības pašā standartā, viņi atklāja daudzas nepilnības, kā telekomunikāciju operatori izmanto šo tehnoloģiju praksē. Saskaņā ar dažiem ziņojumiem vismaz 100 telekomunikāciju operatori visā pasaulē pašlaik ievieš RCS, tostarp Eiropā un ASV.
Avots: 3dnews.ru