Sikkerhedsselskab: »Sms-arvtageren RCS har alvorlige sikkerhedshuller«

Alvorlige sikkerhedshuller i Rich Communications Services påvirker potentielt en milliard mennesker.

RCS (Rich Communications Services) er navnet på det som er meningen skal være arvtageren til sms-teknologien, med Google som hoved-initiativtager. Nu viser det sig, at løsningen til dels har alvorlige sikkerhedshuller, fortæller mediet Motherboard.

Sikkerhedsforskere fra Security Research Labs (SRLabs) rapporterer, at implementering af RCS kan gør, at hackere kan aflytte og manipulere kommunikation, overtage brugerkonti, begå identitetssvindel og spore brugere.

Genindfører fejl fra 1990-tallet

SRLabs fandt blandt andet, at den mest udbredte RCS-klient, Android Messages, ikke implementerer tilstrækkelig domæne- og certifikatverificering, og at nogle RCS-kernenoder ikke har et effektivt system for verificering af brugeridentitet på plads.

Sikkerhedsselskabet har ikke fundet problemer med selve RCS-standarden i sig selv, men derimod med måden, hvorpå teknologien implementeres af de forskellige teleselskaber.

Dele af standarden er endnu ikke defineret, hvilket betyder, at selskaberne til dels kan implementere standarden på sin egen måde – noget, som igen åbner for fejl.

Ifølge SRLabs svarer fundene til mange af de problemer, den eksisterende sms-standard også kæmpede med, da den først blev introduceret.

»Alle ser ud til at begå fejl lige nu, men på forskellige måder. [...] Alle disse fejl fra 1990’erne er nu i gang med at blive genopfundet og genintroduceret. Den rulles nu ud for over en milliard mennesker, som alle rammes af dette,« siger sikkerhedsforsker hos SRLabs Karsten Nohl til Motherboard.

Introduceret i Norge

Nogle af fundene skal præsenteres i større detaljer under hackerkonferencen Black Hat Europe 2019, som varer fra 2. til 5. december i år og altså er i gang nu.

RCS-implementering er ifølge SRLabs nu i gang i 67 lande. I Norge var Telenor blandt de første mobiloperatører i verden, som kom med på Googles initiativ om at ibrugtage RCS-teknologien, og selskabet var i 2017 først ude med at lancere en RCS-baseret tjeneste i Norge – kaldet SMS+.

Telenor stoppede imidlertid RCS-understøttelsen sidste år, formentlig fordi den ikke fungerede helt som ønsket.

RCS-initiativet startede formelt i 2016 som et samarbejde mellem en række store mobiloperatører, Google og GSM Association. Ideen er samkørsel af operatørerne rundt om en universel profil baseret på GSMA’s RCS-specifikation og en RCS-klient for Android, som Google udvikler i samarbejde med operatører og enhedsleverandører.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peder Lauridsen

Det ville måske være rimeligt at dække hvad der faktisk reelt sker omkring RCS. Google har stoppet udrulning med individuelle operatører af netop samme grund og flytter det hele over på Googles egne servere tilsvarende Apple FaceTime.
Viser ret tydeligt at mobil operatører ofte er ligeglade med sikkerhed, der ikke gavner deres forretning...

  • 4
  • 0
Kim Rene Jensen

Forkert og vildledende overskrift.
Teleudbydernes mangel på hensyn til SIKKERHED er igen i fokus.
Næsten hvert nyt teknologiskift hos TELCO medfører unødvendige nye huller og risici, da ordet "sikkerhed" åbenart stadig er et fremmedord for dem. De har haft mange år til planlægningen af implementeringen af RCS, men de lever åbenbart i en SIMkort-verden, hvor man lever fra dag til dag og ikke planlægger bare lidt ud i fremtiden.

Bad RCS implementations are creating big vulnerabilities, security researchers claim
Carriers are creating problems for users

https://www.theverge.com/2019/11/29/20987738/bad-rcs-implementations-are...

  • 1
  • 0
Hans Nielsen

Sikkerhed med omsætning over en million og mere 5 ansatte, eller bare os alle sammen.

Nu poster jeg denne kommentar i flere debatter, da den desvære er relevant for dem alle.

Hvordan kan firmaer i Danmark med bare lidt hemmelige kundekatoker, lidt forskningen, penge på bankbogen, eller med flere ansatte.

Bruge smart telefoner eller opperativ systemer som tydeligvis ikke er sikkert, over aflytning eller hackning ?

En start må være.
Krav til alt OS og software som helt åben kildekode, og gerne fri software.
Hardware kun produceret og samlet i EU.

Hvis man tænker på novo nodisk eller mærks der forsker eller handler for milliarder. Kan de ikke lige så nemt blive hacket.

HVAD MED MEGET AF VORES VÆSENLIGE INFRAKSTRUKTUR
som tilsydenlanden kan tilgåes via en Ipad, mobiltelefon eller en tablet fordi det er nemt og billigt.

https://www.dr.dk/nyheder/indland/derfor-gaar-danske-f-16-piloter-rundt-...

  • 0
  • 2
Log ind eller Opret konto for at kommentere