Обнаружены уязвимости в способах реализации стандарта RCS операторами связи

[Ippolitovich]

Исследователи из SRLabs, работающие в сфере информационной безопасности, сообщили о том, что им удалось выявить ряд уязвимостей в способах внедрения стандарта Rich Communication Services (RCS), которые используются операторами связи в разных странах мира. Напомним, система RCS представляет собой новый стандарт обмена сообщениями, который должен прийти на смену SMS.

 

В отчёте говорится о том, что обнаруженные уязвимости могут использоваться для отслеживания местоположения пользовательского устройства, перехвата текстовых сообщений и голосовых вызовов. Одна из проблем, обнаруженная в реализации RCS неназванного оператора связи, может использоваться приложениями для удалённой загрузки файла конфигурации RCS на ваш смартфон, повышая таким образом привилегии программы в системе и открывая доступ к голосовым вызовам и текстовым сообщениям. В другом случае проблема касалась шестизначного проверочного кода, который оператор связи отправлял для проверки личности пользователя. На ввод кода предоставлялось неограниченное количество попыток ввода, что может использоваться злоумышленниками для подбора верной комбинации.   

 

 

Система RCS представляет собой новый стандарт обмена сообщений и поддерживает многие функции, предоставляемые современными мессенджерами. И хотя исследователи из SRLabs не выявили каких-либо уязвимостей в самом стандарте, было найдено немало слабых мест в том, как операторы связи используют технологию на практике. По некоторым данным, внедрение RCS в настоящее время осуществляют не менее 100 операторов связи по всему миру, в том числе в Европе и США.