RCS (Rich Communications Services) er navnet på det som er meningen skal være arvtageren til sms-teknologien, med Google som hoved-initiativtager. Nu viser det sig, at løsningen til dels har alvorlige sikkerhedshuller, fortæller mediet Motherboard.
Sikkerhedsforskere fra Security Research Labs (SRLabs) rapporterer, at implementering af RCS kan gør, at hackere kan aflytte og manipulere kommunikation, overtage brugerkonti, begå identitetssvindel og spore brugere.
Genindfører fejl fra 1990-tallet
SRLabs fandt blandt andet, at den mest udbredte RCS-klient, Android Messages, ikke implementerer tilstrækkelig domæne- og certifikatverificering, og at nogle RCS-kernenoder ikke har et effektivt system for verificering af brugeridentitet på plads.
Sikkerhedsselskabet har ikke fundet problemer med selve RCS-standarden i sig selv, men derimod med måden, hvorpå teknologien implementeres af de forskellige teleselskaber.
Dele af standarden er endnu ikke defineret, hvilket betyder, at selskaberne til dels kan implementere standarden på sin egen måde – noget, som igen åbner for fejl.
Ifølge SRLabs svarer fundene til mange af de problemer, den eksisterende sms-standard også kæmpede med, da den først blev introduceret.
»Alle ser ud til at begå fejl lige nu, men på forskellige måder. [...] Alle disse fejl fra 1990’erne er nu i gang med at blive genopfundet og genintroduceret. Den rulles nu ud for over en milliard mennesker, som alle rammes af dette,« siger sikkerhedsforsker hos SRLabs Karsten Nohl til Motherboard.
Introduceret i Norge
Nogle af fundene skal præsenteres i større detaljer under hackerkonferencen Black Hat Europe 2019, som varer fra 2. til 5. december i år og altså er i gang nu.
RCS-implementering er ifølge SRLabs nu i gang i 67 lande. I Norge var Telenor blandt de første mobiloperatører i verden, som kom med på Googles initiativ om at ibrugtage RCS-teknologien, og selskabet var i 2017 først ude med at lancere en RCS-baseret tjeneste i Norge – kaldet SMS+.
Telenor stoppede imidlertid RCS-understøttelsen sidste år, formentlig fordi den ikke fungerede helt som ønsket.
RCS-initiativet startede formelt i 2016 som et samarbejde mellem en række store mobiloperatører, Google og GSM Association. Ideen er samkørsel af operatørerne rundt om en universel profil baseret på GSMA’s RCS-specifikation og en RCS-klient for Android, som Google udvikler i samarbejde med operatører og enhedsleverandører.
Artiklen er fra digi.no.
