Nyheter

Nytt SMS-alternativ 'RCS Standard' utsätter användare för säkerhetshot

Nytt SMS-alternativ 'RCS Standard' utsätter användare för säkerhetshot

Att ersätta det vanliga SMS med RCS eller Rich Communication Services gör användarna utsatta för textbaserade attacker, samtalsavlyssning, platsspårning och mer, enligt ny forskning.

RCS-standarden (Rich Communication Services) är en ersättning för SMS som innehåller funktioner som läskvitton, möjligheten att skicka media, etc..

Medan den nya SMS-standarden inte i sig är bristfällig, säger forskare vid SLabs att operatörsnätverk utsätter användarna för ett antal säkerhetshot när de implementerar RCS i stor skala.

Eftersom det inte finns en enhetlig standard kan stora telekomföretag använda den annorlunda och göra misstag i processen, skriver Vice.

Vad är RCS?

RCS är ett protokoll som snart kommer att ersätta standard-SMS. Medan den uppstod 2007 fick den knappt något erkännande förrän 2018, då Google meddelade att de samarbetar med stora operatörer för att få RCS-protokoll till Android-enheter.

Den nya standarden gör det möjligt för användare att starta gruppchattar, skicka högupplösta bilder, ljud - i huvudsak alla funktioner i populära chattjänster som iMessage och WhatsApp.

Vad är problemet?

För forskningen tog SLabs-teamet prov på SIM-kort från olika operatörer och letade efter RCS-relaterade domäner. Vidare försökte teamet hitta säkerhetsfel i var och en.

Forskarna upptäckte problem i hur telekom skickar RCS-konfigurationsfiler till enheter. Till exempel tillhandahåller en server den exakta konfigurationsfilen genom att identifiera IP-adresserna.

Karsten Nohl från SLabs berättade att alla appar kunde begära filen, med eller utan behörighet, eftersom de också använder IP-adressen. "Så nu kan alla appar få ditt användarnamn och lösenord till alla dina textmeddelanden och alla dina röstsamtal."

Forskarna fann också säkerhetsfördröjningar i autentiseringsprocessen. Till exempel skickar en telekom en unik autentiseringskod för att verifiera identifieringen av RCS-användaren. Eftersom operatören ger ett "obegränsat antal försök" kan dåliga skådespelare kringgå autentiseringen med obegränsade försök.

Operatörsnätverk svar

När Vodafone ombads att kommentera försäkrade han att användarna skulle vidta säkerhetsåtgärder för att skydda RCS-tjänsterna. Under tiden riktade AT&T och Sprint bekymmerna till GSM Association (ett handelsorgan för telekom)

GSM berättade för Vice att medan de uppskattar de ansträngningar som SLabs gjort för allmänheten säkerhetsfrågorna; emellertid inkluderar forskningen ”inga nya sårbarheter” som kroppen inte kände till.

SLabs forskare kommer att rapportera sina resultat i Black Hat-decemberkonferensen i Europa.

Läs också: Kina förbjuder utstationering av Deepfakes utan korrekt offentliggörande
Android TV Våra val för bästa digitala TV-mottagare för Android-smartphones eller surfplattor
Våra val för bästa digitala TV-mottagare för Android-smartphones eller surfplattor
Att använda en Android-smartphone eller surfplatta för att titta på Over-the-Air TV är ett bra alternativ för gratis kanaler. TV-antenner används oft...
Android TV Granska Dragon Touch MAX10 Plus 10-tums surfplatta Full HD QLED-skärm
Granska Dragon Touch MAX10 Plus 10-tums surfplatta Full HD QLED-skärm
Dragon Touch MAX 10 Plus är en mellanklassplatta med en 8-kärnig 1,6 GHz-processor, 3 GB RAM-minne och 32 GB internt lagringsutrymme. Det har också A...
Android TV Recensera MECOOL KM6 Android TV Box Deluxe Edition
Recensera MECOOL KM6 Android TV Box Deluxe Edition
MECOOL KM6 är en ny Android TV-låda för 2021 med mycket bra hårdvara.Den innehåller en 2GHZ S905X4-processor tillsammans med 4 GB RAM och 64 GB inte...