Az SMS-t leváltó RCS üzenetküldés sérülékeny lehet

2019 / 12 / 16 / Justin Viktor
Az SMS-t leváltó RCS üzenetküldés sérülékeny lehet
Az RCS egy olyan új üzenetküldési szabvány, amelyet arra terveztek, hogy egy nap teljesen leváltsa az SMS-t szöveges üzenetek küldésekor. Bevezetésének módja azonban sok szolgáltatónál olyan hibákat tartalmaz, mellyel komoly sérülékenységeket is telepítenek az ügyfelek mobiljaira.

Szolgáltató=problémaforrás?

Az SRLabs biztonsági kutatói egy sor sérülékenységet találtak abban a módszerben, mellyel a mobilszolgáltatók világszerte bevezetik az RCS-t, az új üzenetküldési szabványt, melynek célja, hogy leváltsa az alap SMS szolgáltatást. Egyes esetekben ezek a problémák veszélybe sodorhatják a felhasználó helyadatait, lehetővé tehetik szöveges üzeneteik elolvasását vagy hívásaik meghallgatását, engedélyezhetik a telefonszámuk klónozásával zajló megtévesztést.

Egy meg nem nevezett szolgáltató bevezetésében azonosított probléma lehetõvé teheti a telefonra telepített bármely alkalmazás számára az RCS-konfigurációs fájlhoz való hozzáférést, például megadva az alkalmazásnak felhasználói nevünket és jelszavunkat, hozzáférést biztosítva az összes hanghívásunkhoz és szöveges üzenetünkhöz. Egy másik esetben a hatjegyű kód, melyet a szolgáltató a felhasználó személyazonosságának ellenőrzésére használt, sebezhetőnek bizonyult a harmadik fél által indított “brute force” típusú (nyers erőt használó) támadásokkal szemben. Ezeket a problémákat akkor fedezték fel, amikor a kutatók több különböző szolgáltató SIM-kártyáit elemezték.

Öreg hiba, nem vén hiba

Az RCS az iMessage és WhatsApphoz hasonló modern csevegőkliensek számos funkcióját támogatja, például az olvasási visszaigazolásokat, gépelési mutatókat (bár a végpontok közötti titkosítást nem), egy olyan platformközi szabványon keresztül, amelyet a különböző vállalatok integrálhatnak termékeikbe. A kutatók nem azonosítottak semmiféle problémát magával a szabvánnyal kapcsolatban, azonban többet is a szolgáltatók bevezetési módszereiben.

A SRLabs nem osztotta meg, hogy melyik szolgáltatónál melyik biztonsági rést fedezték fel, de megjegyezték, hogy a szabványt a világon legalább 100 szolgáltató használja már, köztük a négy legnagyobb amerikai nagyvállalat.

„Azt látjuk, hogy valójában számos hálózatban komoly visszalépés történt az SMS-hez képest” - mondta Karsten Nohl az SRLabstól. "A 90-es évek összes hibáját újra feltalálják, és újra bevezetik" - tette hozzá.


A RCS bevezetése a világ országaiban (piros színnel a legalább egy hálózatszolgáltató által befejezett bevezetés, sárgával a teszt alatt lévő bevezetések.)

De hisz erre már van megoldás

A hálózatüzemeltetők kereskedelmi szervezetének (GSMA) szóvivője azt nyilatkozta hogy az SRLabs kutatói most mutatják be megállapításaikat a szervezetnek, és úgy gondolják, hogy  elérhetőek a szükséges ellenintézkedések, hogy az azonosított problémákat kiküszöböljék.

„Hálásak vagyunk a kutatóknak, akik lehetőséget adtak az iparágnak, hogy megvizsgáljuk az eredményeiket. A GSMA üdvözöl minden olyan kutatást, amely fokozza a mobil szolgáltatások biztonságát és felhasználói bizalmat”- tette hozzá a szóvivő.


A sebezhetőségekkel telepített RCS tipikus támadási, adatlopási, károkozási formái

Csak éppen nem vezetik be

Az SMS-mel szembeni nyilvánvaló előnyei ellenére az RCS bevezetése lassan zajlik. A szabványt tavaly jelentették be, de csak most kezdte el a Google beállítani azt, az Android üzenetek elsődleges sms-platformjának. Ez a változás ráadásul nem érinti az Egyesült Államok legkelendőbb Android telefon-gyártóját, a Samsungot, mert a vállalat alapértelmezés szerint saját üzenetküldő klienst kínál. Az AT&T, a Verizon, a T-Mobile és a Sprint szintén tervezi jövőre a támogatást beindítását saját sms-alkalmazásaikon keresztül. Az Apple nem kívánt véleményt nyilvánítani arról, hogy támogatni fogja-e a szabványt.

 

A SRLabs a december elején Londonban lezajlott Black Hat Europe konferencián is bemutatta a sérülékenységeket. A november végén a DeepSec konferencián bejelentett sérülékenységekkel a Black hat időpontjáig az igéretek ellenére semmit sem kezdtek a szolgáltatók, az SMS-elfogás, a hívó fél azonosítójának meghamisítása, és a felsorolt egyéb hackek, sajnos mind működtek.

(Forrás: TheVerge Képek: SRLabs, Black Hat Conference Twitter)


Hello Szülő! Ha a gyereked nem tud valamit, akkor téged fog kérdezni. De ha te szülőként nem tudsz valamit, akkor kihez fordulsz?
A digitális kor szülői kihívásairól is találhattok szakértői tippeket, tanácsokat, interjúkat, podcastokat a Telekom családokat segítő platformján, a https://helloszulo.hu/ oldalon.
Hogyan válasszunk külföldi egyetemet? És mennyibe fog ez kerülni a családnak?
Hogyan válasszunk külföldi egyetemet? És mennyibe fog ez kerülni a családnak?
Repül már a vén diák. Hová? Hová?
Hogyan vélekednek a magyarok a net veszélyeiről – és kik a leginkább fenyegetettek?
Hogyan vélekednek a magyarok a net veszélyeiről – és kik a leginkább fenyegetettek?
Hogy áll a magyar lakosság generációkra bontva a kiberbiztonsághoz? – Erről szól az ESET rendkívül átfogó felmérése, amelyből olyan meglepő eredmények is kiderülnek, hogy kik a romantikus csalások legfőbb célpontjai, miközben az adott csoport nem is nagyon ismeri ezt a fenyegetést.
Ezek is érdekelhetnek
HELLO, EZ ITT A
RAKÉTA
Kövess minket a Facebookon!
A jövő legizgalmasabb cikkeit találod nálunk!
Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.



This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.