据报道,SRLabs的安全研究人员发现,全球各地的运营商在实施RCS时存在大量漏洞。RCS是一种旨在取代SMS的新消息传递标准。在某些情况下,这些问题可能会危及用户的位置数据,它们可能会允许拦截用户的短信或电话,或者允许伪造用户的电话号码。(注,SRLabs:是一个提供相关咨询的黑客研究团体和智库,并致力于安全研究的前沿工作;RCS:Rich Communication Services,融合通信;SMS:Short Messaging Service,短信)
研究人员分析了几家不同运营商的SIM卡样本后发现了这些问题:在一个未命名的运营商的实现中发现,一个漏洞可能会允许你手机上的任何应用程序下载你的RCS配置文件,例如,给应用程序你的用户名和密码,并允许它访问你所有的语音通话和短信。在另一个案例中,运营商用来验证用户身份的六位数字代码很容易被第三方强行破解。RCS是一种新的消息传递标准,旨在有朝一日取代SMS作为一种发送文本消息的方式。它支持iMessage和WhatsApp等现代通讯客户端引入的许多功能,包括读取收据和输入指示器,这是一个跨平台的标准,不同的公司可以与之集成。研究人员没有发现该标准本身存在任何问题,航空公司的运营方式才是问题所在。
SRLabs没有透露是哪些运营商发现了安全漏洞,但指出,全球至少有100家运营商正在实施这一标准,其中包括四家美国大型运营商。来自SRLabs的Karsten Nohl告诉记者:“我们发现,与短信相比,这实际上是一种倒退。”“所有这些90年代的错误都被重新发明,重新引入。”
当记者联系到代表网络运营商的行业组织GSMA寻求意见时,该组织发言人表示:SRLabs的研究人员将于下周向该组织提交他们的研究结果,他们认为自己的措施可以解决他们发现的问题。“我们非常感谢研究人员给行业提供机会考虑他们的发现。GSMA欢迎任何增强移动服务安全性和用户信心的研究。”
尽管RCS相对于SMS有很多优势,但它的推广速度一直很慢。这个标准是去年宣布的,但直到这个月谷歌才开始成为Android短信的主要短信平台,而且这个改变不会影响美国最畅销的Android手机制造商三星,因为它默认提供自己的短信应用。AT&T、Verizon、T-Mobile和Sprint也计划明年通过他们自己的短信应用提供支持。与此同时,苹果拒绝就是否支持这一标准发表评论。
SRLabs将在12月的欧洲会议(Black Hat Europe conference)上展示其研究成果,此前该公司在今天的DeepSec会议上展示了部分成果。
内容来源:
https://www.theverge.com/2019/11/29/20987738/bad-rcs-implementations-are-creating-big-vulnerabilities-security-researchers-claim
编辑:任宏阳
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
