Más implementações rcs estão criando grandes vulnerabilidades, afirmam pesquisadores de segurança

Ilustração: Alex Castro / The Verge

Pesquisadores de segurança da SRLabs descobriram uma série de vulnerabilidades com a forma como as operadoras de todo o mundo estão implementando rcs, o novo padrão de mensagens projetado para substituir SMS, relatórios motherboard. Em alguns casos, esses problemas podem comprometer os dados de localização de um usuário, eles podem permitir que suas mensagens de texto ou chamadas sejam interceptadas ou permitir que seu número de telefone seja falsificado.

Um problema identificado na implementação de uma operadora sem nome pode permitir que qualquer aplicativo em seu telefone baixe seu arquivo de configuração RCS, por exemplo, dando ao aplicativo seu nome de usuário e senha e permitindo que ele acesse todas as suas chamadas de voz e mensagens de texto. Em outro caso, o código de seis dígitos que uma operadora usa para verificar a identidade de um usuário era vulnerável a ser adivinhado através da força bruta por um terceiro. Estes problemas foram encontrados depois que os investigadores analisaram uma amostra de cartões DO SIM de diversos portadores diferentes.

Rcs é um novo padrão de mensagens que é projetado para um dia substituir SMS como um meio de enviar mensagens de texto. Ele suporta muitos dos recursos introduzidos por clientes de mensagens modernos, como iMessage e WhatsApp, incluindo recibos de leitura e indicadores de digitação (embora não criptografia de ponta a ponta), em um padrão de plataforma cruzada com o qual diferentes empresas podem se integrar. Os pesquisadores não identificaram nenhum problema com o padrão em si; é a forma como as transportadoras estão implantando-o que é o problema.

Srlabs não compartilhar quais falhas de segurança foram encontrados com que as operadoras, mas observou que o padrão está sendo implementado por pelo menos 100 operadoras em todo o mundo, incluindo os quatro majores E.U. “Descobrimos que é realmente um passo para trás para um monte de redes [em comparação com SMS]”, Karsten Nohl de SRLabs disse motherboard. “Todos esses erros dos anos 90 estão sendo reinventados, reintroduzidos.”

Quando contactado para comentar, um porta-voz do órgão comercial que representa os operadores de rede, o GSMA, disse motherboard que os pesquisadores da SRLabs estará apresentando suas descobertas para a organização na próxima semana, e que eles acreditavam que existem contramedidas disponíveis para corrigir os problemas que eles identificaram. “Estamos gratos aos pesquisadores por permitirem à indústria a oportunidade de considerar suas descobertas. A GSMA congratula-se com qualquer pesquisa que aumente a segurança e a confiança do usuário dos serviços móveis”, disse o porta-voz.

Apesar de suas vantagens sobre sms, RCS tem sido lento para rolar para fora. O padrão foi anunciado no ano passado, mas não foi até este mês que o Google começou a torná-lo a principal plataforma de mensagens de texto para mensagens Android, e que a mudança não afetará o fabricante de telefones Android mais vendido nos EUA, Samsung, porque por padrão oferece o seu próprio cliente de mensagens. AT & T, Verizon, T-Mobile e Sprintare também planejam oferecer suporte através de seu próprio aplicativo de mensagens de texto no próximo ano. Enquanto isso, a Apple se recusou a comentar sobre se ele vai apoiar o padrão.

SRLabs estará apresentando suas conclusões na conferência Black Hat Europa em dezembro, depois de mostrar alguns de seus trabalhos na conferência DeepSec hoje.

Click here for more information