Onderzoekers van SRLabs, werkzaam op het gebied van informatiebeveiliging, meldden dat zij erin geslaagd zijn een aantal kwetsbaarheden te identificeren in de methoden voor de implementatie van de Rich Communication Services (RCS)-standaard. Deze standaarden worden door telecombedrijven in verschillende landen over de hele wereld gebruikt. Laten we niet vergeten dat het RCS-systeem een nieuwe berichtenstandaard is die SMS moet vervangen.
Uit het rapport blijkt dat de ontdekte kwetsbaarheden gebruikt kunnen worden om de locatie van het apparaat van een gebruiker te volgen en om tekstberichten en telefoongesprekken te onderscheppen. Een van de problemen die werd aangetroffen in de RCS-implementatie van een niet bij naam genoemde provider, kon door apps worden gebruikt om op afstand een RCS-configuratiebestand naar uw smartphone te downloaden. Hierdoor werden de rechten van het programma in het systeem verhoogd en kreeg u toegang tot spraakoproepen en sms-berichten. In een ander geval had het probleem betrekking op een zescijferige verificatiecode die de provider stuurde om de identiteit van de gebruiker te verifiëren. Er was een onbeperkt aantal pogingen beschikbaar om de code in te voeren, die door aanvallers gebruikt kon worden om de juiste combinatie te selecteren.
Het RCS-systeem is een nieuwe standaard voor berichtenverkeer en ondersteunt veel van de functies die moderne berichtensystemen bieden. Hoewel de onderzoekers van SRLabs geen kwetsbaarheden in de standaard zelf vonden, vonden ze wel veel zwakke punten in de manier waarop telecombedrijven de technologie in de praktijk gebruiken. Volgens sommige gegevens wordt RCS momenteel door minstens 100 telecomoperatoren wereldwijd geïmplementeerd, waaronder in Europa en de VS.
Bron: 3dnews.ru
