Операторы связи не смогли обеспечить безопасность «СМС-ок будущего»

Исследователи обнаружили, что новый сервис отправки сообщений RCS, заменяющий SMS, будет не таким безопасным, как хотелось бы пользователям.
Операторы связи не смогли обеспечить безопасность «СМС-ок будущего»
Yura Fresh / Unsplash

Предполагается, что Rich Communication Services (RCS) — это безопасная и многофункциональная замена SMS — устаревшего стандарта текстовых сообщений, который сегодня используется в наших телефонах. Согласно новому отчету исследователей из компании SRLabs, специализирующейся на исследованиях в области кибербезопасности, некоторые развертывания RCS уязвимы для самых разных кибератак. «Операторы связи — динозавры, которые продолжают вносить все больше и больше уязвимостей в технологию, которая является очень важной для современного человека, — дает свою оценку происходящему Джозеф Кокс. — У нее много прорех в безопасности».

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Речь идет о перехвате текстовых сообщений и вызовов, подделке телефонных номеров и раскрытии местоположения телефонов. «Я удивлен, что крупные компании, такие как Vodafone, внедряют технологию, которая раскрывает данные сотен миллионов людей, не спрашивая их разрешения и даже не говоря им об этом», — удивляется Карстен Нол из SRLabs.

Специалисты SRLabs нашли проблемы не в самом стандарте RCS, а в том, как он применяется различными телекоммуникационными компаниями. Поскольку некоторые стандарты еще не определены, есть большая вероятность, что компании могут использовать их по-своему и допускать при этом ошибки.

Например, устройства получают файлы конфигурации RCS, идентифицирующие их по IP-адресу. Но любое приложение, которое вы устанавливаете на свой телефон, даже если вы не предоставляете ему никаких разрешений, может запросить этот файл. Таким образом, приложения могут получать ваши логины и пароли. Кроме того, компании могут отправлять текстовые сообщения с шестизначным кодом, с помощью которого подтверждается личность пользователя, но при этом ими дается неограниченное количество попыток ввода кода. Чтобы подобрать код, нужно ввести его максимум миллион раз, для чего требуется всего пять минут.

«Все эти ошибки 1990-х годов всплывают заново и в настоящее время затрагивают более миллиарда человек», — говорит Нол.