Nov mobilni standard RCS se po svetu uvaja luknjičasto
Matej Huš
30. nov 2019 ob 12:29:30
Več kot četrt stoletja stara tehnologija SMS ima precej lukenj, zaradi česar je njena uporaba za dvostopenjsko avtentikacijo in druge prijavne postopke vprašljiva. Naslednik že prihaja in se imenuje RCS, a postavljavci omrežij po svetu tudi tega uvajajo površno in tvegano, ugotavljajo raziskovalci.
Karsten Nohl iz podjetja Security Research Labs je pojasnil, da Vodafone in drugi veliki operaterji RCS že uvajajo, ne da bi bili uporabniki s tem seznanjeni. Ranljivosti, ki so v trenutni implementaciji prisotne, bosta Luca Melette in Sina Yazdanmehr predstavila na konferenci Black Hat Europe prihodnji mesec. V ZDA ga podpirajo že vsi največji operaterji (AT&T, T-Mobile, Sprint, Verizon), prav tako RCS tudi v Evropi podpira čedalje več operaterjev, skupno pa prek sto.
Ob tem velja poudariti, da v samem standardu RCS niso odkrili nobene ranljivosti. Problematična je tehnična uvedba, saj je standard napisan ohlapno. To operaterjem pušča proste roke, kar nekateri potem izkoristijo za površno implementacijo. Konfiguracijske datoteke RCS na primer strežniki posredujejo napravi, ko jo identificirajo le z naslovom IP, kar v praksi pomeni, da jo lahko zahteva katerakoli aplikacija na napravi in iz nje prebere uporabniško ime in geslo za dostop do sporočil, četudi nima ustreznih privilegijev. Drugi primeri so šestmestne kode, ki se pošljejo v sporočilu prek RCS, za potrjevanje pristnosti. Nasilno preizkušanje milijona kombinacij na primer traja pet minut.
Novi standard RCS, ki ga ponekod imenujejo tudi SMS 2.0, je naslednik SMS-ov. Medtem ko trenutno zastareli protokol SMS uporabljamo v glavnem za kratka sporočila, medtem ko daljše in večpredstavnostne vsebine romajo prek WhatsAppa, Viberja ali Messengerja, ta rešitev ni univerzalna. Te aplikacija morajo imeti vsi sodelujoči v komunikaciji, zato se je pojavila potreba po univerzalnem standardu. To bo RCS, ki bo omogočal pošiljanje besedila, velikih fotografij, videoposnetkov, drugih datotek in bo imel na primer funkcijo preverjanja dosegljivosti prejemnika.
V GSM Association so dejali, da SRLabs sicer ni odkril nobenih novih ranljivosti, da pa so te znane ranljivosti prisotne v nekaterih implementacijah RCS pri določenih operaterjih. Operaterji v glavnem pravijo, da je varnost prioriteta in da z zanimanjem spremljajo raziskave, na podlagi katerih po potrebi posodabljajo omrežja. Telekom Slovenije RCS še ne podpira. Na svetu ima RCS že več kot 160 milijonov uporabnikov.