RCS-meddelelser er fantastisk, men det er muligvis ikke sikkert for nu

Android-brugere i årtier har haft SMS-funktionen. Funktionen var oprindeligt meget nyttig, men efter fremkomsten af ​​sociale messaging-apps mistede den relevans. Stadig fortsatte Google med at tilbyde SMS-funktionen næsten uden forbedring.

Apple præsenterede derimod sine brugere med iMessage, en opdateret version af SMS med alle moderne funktioner. Apples iMessage fungerer på tværs af alle Apple-enheder, er krypteret, og frem for alt har transportører ingen kontrol over, hvordan det fungerer. Dette har fået Android-brugere til at føle sig udeladt.

RCS-meddelelser er fantastisk, men det er muligvis ikke sikkert for nu

iMessage

Google har ved sin ende længe bestræbt sig på at give Android-brugere en iMessage-type tjeneste. Og det lykkedes endelig sidste måned, da det formelt annoncerede udrulningen af ​​RCS (Rich Communication Services).

Denne RCS-messaging-tjeneste er efterfølgeren til SMS, og som andre tredjeparts-messaging-tjenester tilbyder alle moderne funktioner, herunder bedre gruppechats, indtastningsindikatorer, læsekvitteringer, deling af filer og billeder i høj kvalitet.

Yderligere er RCS-beskeder baseret på brugerens telefonnummer, hvilket betyder, at hvis du sender en sms til en person, der også har RCS, aktiveres funktionen automatisk i chatten. I modsætning til SMS'en, der afhænger af operatørens mobilforbindelse, bruger RCS også et datanetværk.

RCS-meddelelser er fantastisk, men det er muligvis ikke sikkert for nu

Midler, du kan også sende det via WiFi. En anden fordel, som RCS har over SMS, er, at den understøtter flere tegn pr. Besked. Desuden understøtter den gruppemeddelelser med op til 100 deltagere.

På trods af de fordele, RCS-messaging tilbyder brugerne, ser det ud til at være en trussel for brugerne med hensyn til sikkerhed. Den første sikkerhedsproblem er, at RCS ikke er krypteret end-til-ende som iMessage. Dette betyder, at det er relativt lettere for hackere at snuse på dine beskeder.

En endnu større sikkerhedstrussel rejses af forskere fra SRLabs, der hævder, at RCS-implementeringer mangler ensartethed med hensyn til sikkerhedsforanstaltninger.

Dette kan kompromittere brugerdata, herunder brugerplacering, indhold af tekstbeskeder og mere, fortalte forskere Motherboard i et telefonopkald.

Problemet er ikke med RCS-standarden. Men hvad der virkelig sætter brugerne i fare er implementeringen af ​​RCS-beskeder fra transportørerne. Da mange af RCS-standarderne er udefinerede, anvender virksomheder deres egen måde at implementere på, og dette øger chancen for, at ting går galt.

På trods af de fordele, RCS-messaging tilbyder brugerne, ser det ud til at være en trussel for brugerne med hensyn til sikkerhed.

Mange luftfartsselskaber bruger smartphone-ejeres IP-adresse til identifikation og giver på baggrund heraf den tilsvarende konfigurationsfil. Men ifølge forskningsfirmaet kan enhver app på en brugers telefon få adgang til denne fil, og den har ikke brug for ekstra tilladelse til det.

Dette betyder, at enhver app kan snige sig med dine loginoplysninger til alle tekstbeskeder og taleopkald. Desuden kunne de let spore en brugers placering og vide, om de er online.

Karsten Nohl fra SRLabs sagde:

Jeg er overrasket over, at store virksomheder som Vodafone introducerer en teknologi, der bogstaveligt talt udsætter hundreder af millioner af mennesker uden at spørge dem uden at fortælle dem

Et andet smuthul i implementeringen af ​​RCS er, når transportøren sender RCS-brugere en sekscifret verifikationskode. Ifølge forskerne kunne enhver hacker få adgang til sikkerhedskoden ved hjælp af brutale kraftangreb. Og det tager ikke mere end fem minutter for en hacker at få adgang til en brugers RCS-profil.

Dette betyder, at hackere kan overtage brugerkonti, da RCS ikke foretager tilstrækkelig validering af brugeridentifikation, domæner og certifikater. På grund af dette kan en hacker omgå domænenavnet og kan endda falske opkalds-id for at foregive at være en anden.

Desuden kan sårbarheden endda gøre det muligt for hackere at kende en engangskodeord, der sendes via SMS. Dette ville give hackere mulighed for at foretage uautoriserede banktransaktioner eller endda tage kontrol over brugerens konto. Nohl sagde:

Alle disse fejl fra 90'erne bliver genopfundet og genindført

De tilføjede yderligere:

Det rulles ud for op mod en milliard mennesker, der allerede er berørt af dette.

Selvom det ser ud til at være en stor sikkerhedstrussel, er der for øjeblikket intet bevis for, at hackere har gjort noget sådant. Forhåbentlig vil forskere afsløre mere information, når de taler om resultaterne på Black Hat Europe-konferencen i december.

En god ting er, at transportørerne er opmærksomme på dette. Så vi kan forvente, at problemet løses meget snart, men det betyder ikke, at de brugere, der allerede bruger RCS, er sikre. Googles RCS er allerede blevet aktiveret af omkring 100 luftfartsselskaber i USA og Europa.

operatør, iMessage, RCS, sikkerhed

SRLabs afslørede ikke navnet på transportørerne med defekte RCS-implementeringer. Så det er muligt, at hackerne kan udnytte sårbarheden, indtil transportører ruller løsningen. Indtil da er brugerne bestemt ikke sikre.

Ifølge SRLabs kan disse sårbarheder rettes. Forskerne har også leveret et par forslag, f.eks. Ved hjælp af stærke engangskodeordskoder og hentning af oplysninger fra SIM-kortet for at bekræfte brugeren.

Flere luftfartsselskaber fortalte bundkortet, at de er opmærksomme på resultaterne fra SRLabs og gennemgår det. Vodafone sagde, at de allerede har mange beskyttelser på plads til RCS, og at det vil gennemgå de nye fund og vil tage skridt, hvis det er nødvendigt.

Vi gennemgår denne beskyttelse i lyset af forskningen og tager om nødvendigt yderligere beskyttelsesforanstaltninger

Hvis RCS-messaging-tjenesten sigter mod at konkurrere med Apples iMessage, er det meget vigtigt, at alle sådanne sårbarheder opdateres hurtigt. Smartphone-ejere bruger kun RCS frit, hvis de har tillid til den tjeneste, at deres data og information er sikker.

Hvad kan du gøre, indtil sårbarhederne er opdateret?

Da SRLabs ikke har afsløret navnet på transportørerne med usikker RCS, er der ingen måde at vide, hvem der kan være i fare. Der er muligvis ikke noget bevis for, at hackere faktisk har udnyttet disse sårbarheder, stadig for at være på den sikre side, alt hvad du kan gøre er at deaktivere RCS, indtil rettelsen er rullet.

Facebook Twitter Google Plus Pinterest