» »

Nov mobilni standard RCS se po svetu uvaja luknjičasto

Nov mobilni standard RCS se po svetu uvaja luknjičasto

Slo-Tech - Več kot četrt stoletja stara tehnologija SMS ima precej lukenj, zaradi česar je njena uporaba za dvostopenjsko avtentikacijo in druge prijavne postopke vprašljiva. Naslednik že prihaja in se imenuje RCS, a postavljavci omrežij po svetu tudi tega uvajajo površno in tvegano, ugotavljajo raziskovalci.

Karsten Nohl iz podjetja Security Research Labs je pojasnil, da Vodafone in drugi veliki operaterji RCS že uvajajo, ne da bi bili uporabniki s tem seznanjeni. Ranljivosti, ki so v trenutni implementaciji prisotne, bosta Luca Melette in Sina Yazdanmehr predstavila na konferenci Black Hat Europe prihodnji mesec. V ZDA ga podpirajo že vsi največji operaterji (AT&T, T-Mobile, Sprint, Verizon), prav tako RCS tudi v Evropi podpira čedalje več operaterjev, skupno pa prek sto.

Ob tem velja poudariti, da v samem standardu RCS niso odkrili nobene ranljivosti. Problematična je tehnična uvedba, saj je standard napisan ohlapno. To operaterjem pušča proste roke, kar nekateri potem izkoristijo za površno implementacijo. Konfiguracijske datoteke RCS na primer strežniki posredujejo napravi, ko jo identificirajo le z naslovom IP, kar v praksi pomeni, da jo lahko zahteva katerakoli aplikacija na napravi in iz nje prebere uporabniško ime in geslo za dostop do sporočil, četudi nima ustreznih privilegijev. Drugi primeri so šestmestne kode, ki se pošljejo v sporočilu prek RCS, za potrjevanje pristnosti. Nasilno preizkušanje milijona kombinacij na primer traja pet minut.

Novi standard RCS, ki ga ponekod imenujejo tudi SMS 2.0, je naslednik SMS-ov. Medtem ko trenutno zastareli protokol SMS uporabljamo v glavnem za kratka sporočila, medtem ko daljše in večpredstavnostne vsebine romajo prek WhatsAppa, Viberja ali Messengerja, ta rešitev ni univerzalna. Te aplikacija morajo imeti vsi sodelujoči v komunikaciji, zato se je pojavila potreba po univerzalnem standardu. To bo RCS, ki bo omogočal pošiljanje besedila, velikih fotografij, videoposnetkov, drugih datotek in bo imel na primer funkcijo preverjanja dosegljivosti prejemnika.

V GSM Association so dejali, da SRLabs sicer ni odkril nobenih novih ranljivosti, da pa so te znane ranljivosti prisotne v nekaterih implementacijah RCS pri določenih operaterjih. Operaterji v glavnem pravijo, da je varnost prioriteta in da z zanimanjem spremljajo raziskave, na podlagi katerih po potrebi posodabljajo omrežja. Telekom Slovenije RCS še ne podpira. Na svetu ima RCS že več kot 160 milijonov uporabnikov.

10 komentarjev

Glugy ::

"Operaterji v glavnem pravijo"
Pravijo eno delajo pa drugo.

MrStein ::

Več kot četrt stoletja stara tehnologija SMS ima precej lukenj, zaradi česar je njena uporaba za dvostopenjsko avtentikacijo in druge prijavne postopke vprašljiva. Naslednik že prihaja in se imenuje RCS,

Naslednik SMS je MMS.
Pa še EMS je bil vmes.

Telekom Slovenije RCS še ne podpira

Kaj pa drugi slovenski ponudniki?

Ter naprave? A večina jih že podpira?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Lonsarg ::

RCS je podcenjen ko se mu reče zgolj boljši SMS. RCS omogoča tudi klice in če je torej implementiran v celoti pomeni IP-only komunikacijo za vse.

Ko to enkrat doseže konkretno podporo po svetu se lahko nadejamo operaterjev ki nimajo niti svojega omrežja niti niso MVNO, pač pa so internet-only.

dope1337 ::

jo identificirajo le z naslovom IP, kar v praksi pomeni, da jo lahko zahteva katerakoli aplikacija na napravi in iz nje prebere uporabniško ime in geslo za dostop do sporočil, četudi nima ustreznih privilegijev.

Ne poznam RCS, vendar tole se bere, kot da se privilegijev niti ne preverja. Dovolj je samo pravilen IP zahtevka.

To je kakasna anomalija, ali stalna praksa?
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

WhiteAngel ::

Malo komplicirajo. Če bomo imeli IP-only storitev, potem imaš lahko jabber+jingle s certifikatom na simki in si done. Discovery pa nudi vsak provider v obliki mojnick@hot.si. Ampak ne, because reasons :|

MrStein ::

Certifikat? Se hecaš? :)
Kdo pa bo spravil certifikati na SIM? Kje ga bo vzel?
Razen tega se to komot ponaredi (trdi forumski strokovnjak v sosednji temi).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

starfotr ::

Mobitel je že 15 let nazaj ime WPKI oz. M:Certifikat. Na primer.

MrStein ::

Saj imel ga je marsikdo. Ampak med tem in "vsi imajo" so svetovi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Lonsarg ::

Saj SIM je certifikat, oziroma je to njegova primarna funkcija. Je pa API za uporabo ponavadi omejen na sistemske aplikacije kot je SMS, Phone, WiFi.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

niirb ::

MrStein je izjavil:

Več kot četrt stoletja stara tehnologija SMS ima precej lukenj, zaradi česar je njena uporaba za dvostopenjsko avtentikacijo in druge prijavne postopke vprašljiva. Naslednik že prihaja in se imenuje RCS,

Naslednik SMS je MMS.
Pa še EMS je bil vmes.

Telekom Slovenije RCS še ne podpira

Kaj pa drugi slovenski ponudniki?

Ter naprave? A večina jih že podpira?


Kolikor jaz razumem bi mogla večja večina naprav natievly podpirati RCS. Prejemanje takšnih podatkov kot jih pošilja RCS ni noben problem, problem je da carrierji ne pustihjo teh podatkov skozi "sms-like" protokole.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VoLTE v Sloveniji? (strani: 1 2 3 )

Oddelek: Mobilne tehnologije
13634743 (2916) sinalko
»

Nov mobilni standard RCS se po svetu uvaja luknjičasto

Oddelek: Novice / Omrežja / internet
104980 (3725) niirb
»

Četrt stoletja SMS-ov (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
5117724 (15470) GupeM
»

Vdor v Hacking Team v divjino ponesel neznane ranljivosti

Oddelek: Novice / Varnost
158338 (4076) noraguta
»

Tudi slovenska policija razmišljala o nakupu Hacking Teamovega trojanca (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
10244107 (38523) matijadmin

Več podobnih tem