Luki w RCS mogą nam wyczyścić konto bankowe
Eksperci ds. bezpieczeństwa z SRLabs odkryli groźną lukę w platformie RCS. Jest otwarta na ataki hakerskie i może prowadzić do przejęcia kontroli nad bankowym kontem.
RCS (Rich Communication Service), to nowy system komunikacji bezprzewodowej, który w niedalekiej przyszłości może zastąpić SMS’y i wiadomości tekstowe. Technologia nie wykorzystuje bowiem połączeń komórkowych lecz własną sieć operatora, co niesie ze sobą wiele korzyści.
Dzięki temu wiadomości tekstowe można przesyłać za pośrednictwem WiFi. Kolejną korzyścią zapewnianą przez RCS jest znaczny wzrost limitu znaków. W standardowym SMS’ie możemy ich mieć maksymalnie 160 na jedną wiadomość, zaś w nowej platformie limit wynosi aż 8000 znaków. Dodatkowo system posiada wskaźnik informujący że odbiorca przeczytał wiadomość, więc nadawca nie musi się zastanawiać, czy wiadomość doszła. Kolejną zaletą jest też wskaźnik nadejścia wiadomości w postaci trzech kropek. Dodatkowo można wysyłać wiadomości grupowe do maksymalnie 100 odbiorców oraz udostępniać duże pliki zawierające zdjęcia lub filmy.
Nowa platforma komunikacyjna jest podatna na ataki hakerów
Kilku amerykańskich operatorów już planuje monetyzację platformy RCS. Zamierzają umożliwić kupowanie biletów, a także innych produktów bez konieczności opuszczania aplikacji. Z kolei operatorzy w Wielkiej Brytanii i Francji już wypuścili komunikator korzystający z tego systemu. Google również rozpoczęło dystrybucję aplikacji RCS Chat na urządzenia z Androidem.
Wygląda jednak na to, że platforma ma poważne luki w zabezpieczeniach, które odkryli specjaliści z niemieckiej firmy SRLabs. Ich zdaniem platforma jest otwarta na ataki hakerskie, gdyż zapewnia bardzo słabą ochronę. Atakujący może przejąć konto użytkownika, wykorzystując je do różnego rodzaju oszustw, w tym także fałszowania identyfikatora rozmówcy.
Według specjalistów, hakerzy mogą śledzić użytkowników i sprawdzać czy są online. Natomiast dzięki fałszowaniu identyfikatora rozmówcy mogą podszywać się pod inne osoby. Luki w zabezpieczeniach platformy umożliwiają także przejmowanie jednorazowego hasła wysyłanego SMS’em. A to z kolei otwiera przestępcom drogę do nieautoryzowanych transakcji bankowych, czy też całkowitego przejęcia kontroli nad kontem. SRLabs wyjaśnia, że klient RCS, w tym także oficjalny komunikator Androida nie są w stanie zweryfikować, czy identyfikator serwera jest zgodny z identyfikatorem dostarczonym przez sieć podczas fazy udostępniania. Za pomocą sfałszowania DNS’ów, haker może znaleźć się w środku szyfrowanego połączenia, pomiędzy urządzeniem, a rdzeniem sieci RCS.
SRLabs twierdzi, że luki można naprawić. Na przykład poprzez używanie silniejszych haseł jednorazowych lub poprzez wykorzystanie informacji z karty SIM użytkownika w celu jego uwierzytelnienia.
Nowa platforma komunikacyjna niewątpliwie ma przed sobą przyszłość, jednak operatorzy powinni bardziej popracować nad jej zabezpieczeniem.
Technogadżet w liczbach