Noul standard care înlocuiește SMS-urile îi lasă pe alții să-ți spioneze convorbirile
Mai multe companii de telecomunicații încearcă să implementeze standardul RCS, alternativa la SMS, însă n-o fac într-un mod corespunzător.
Rich Communication Services (RCS) este un standard care ar urma să înlocuiască sistemul SMS standard. Este un protocol modern de comunicare și tot mai mulți operatori vor să-l adopte. Numai că implementarea standardului vine și cu anumite vulenrabilități pentru utilizatorii care ar urma să-l folosească.
Cercetătorii în securitate din cadrul SRLabs au ajuns la concluzia că unele companii de telecomunicații implementează standardul RCS în moduri vulnerabile, care deschid calea actorilor rău-intenționați pentru atacarea rețelelor de telefonie.
Astfel, acest standard folosit de operatorii de telefonie din întreaga lume poate lăsa utilizatorii deschiși la tot felul de atacuri, cum ar fi interceptarea mesajelor text și a apelurilor sau aflarea locației.
SRLabs estimează că standardul este deja implementat de cel puțin 100 de operatori de telefonie mobilă, multe dintre implementări fiind în Europa. Partea interesantă e că cercetătorii nu au găsit probleme la standardul în sine, ci la felul în care operatorii îl implementează. O bună parte a standrdului nu este definită, ceea ce înseamnă că fiecare companie îl implementează în felul său, ceea ce ar putea duce la erori.
Cum standardul RCS te lasă vulnerabil
Cercetătorii au folosit cartele SIM de la mai mulți operatori pentru a identifica ce probleme are fiecare.
Într-unele cazuri, SRLabs spune că există problemele legate de felul în care dispozitivele primesc fișiserele de configurare RCS. Astfel, un server oferă fișierele de configurare pentru un anumit dispozitiv prin identificare IP-ului său. Apoi, orice aplicație pe care o instalezi pe telefon poate solicita acel fișier. Astfel, orice aplicație poate accesa nume de utilizatori și parole pentru mesajele și apelurile tale.
„Sunt surprins că mari companii, precum Vodafone, introduc o tehnologie care expune literalmente sute de milioane de oameni, fără să le ceară, fără să le spună”, a declarat Karsten Nohl de la firma de cibersecuritate din cadrul SRLabs.