Notícias

Novo SMS alternativo 'padrão RCS' está expondo os usuários a ameaças à segurança

Novo SMS alternativo 'padrão RCS' está expondo os usuários a ameaças à segurança

Substituir o SMS regular pelo RCS ou Rich Communication Services está tornando os usuários vulneráveis ​​a ataques baseados em texto, interceptação de chamadas, rastreamento de localização e muito mais, de acordo com uma nova pesquisa.

O padrão RCS (Rich Communication Services) é uma substituição para SMS que incluirá recursos como recibos de leitura, a capacidade de enviar mídia, etc..

Embora o novo padrão de SMS não seja inerentemente falho, os pesquisadores do SLabs afirmam que as redes das operadoras estão expondo os usuários a uma série de ameaças de segurança à medida que implementam RCS em grande escala.

Como não há um padrão unificado, grandes empresas de telecomunicações podem empregá-lo de maneira diferente e cometer erros no processo, escreve Vice.

O que é RCS?

RCS é um protocolo que em breve substituirá o SMS padrão. Embora tenha surgido em 2007, mal teve qualquer reconhecimento até 2018, quando o Google anunciou que está trabalhando com grandes operadoras para trazer o protocolo RCS para dispositivos Android.

O novo padrão permitirá aos usuários iniciar bate-papos em grupo, enviar imagens de alta resolução, áudio - essencialmente todos os recursos de serviços de bate-papo populares, como iMessage e WhatsApp.

Qual é o problema?

Para a pesquisa, a equipe do SLabs coletou amostras de cartões SIM de diferentes operadoras e procurou domínios relacionados ao RCS. Além disso, a equipe tentou encontrar falhas de segurança em cada.

Os pesquisadores descobriram problemas em como as telecomunicações enviam os arquivos de configuração RCS para os dispositivos. Por exemplo, um servidor fornece o arquivo de configuração exato identificando os endereços IP.

Karsten Nohl do SLabs disse que qualquer aplicativo pode solicitar o arquivo, com ou sem permissão, desde que também use o endereço IP. “Portanto, agora todos os aplicativos podem obter seu nome de usuário e senha para todas as suas mensagens de texto e todas as suas chamadas de voz.”

Os pesquisadores também encontraram falhas de segurança no processo de autenticação. Por exemplo, uma telecom envia um código de autenticação único para verificar a identificação do usuário RCS. Uma vez que a operadora oferece um "número ilimitado de tentativas", os malfeitores podem contornar a autenticação com tentativas ilimitadas.

Resposta da rede da operadora

Quando solicitada a comentar, a Vodafone garantiu aos usuários que tomaria medidas de segurança para proteger os serviços RCS. Enquanto isso, a AT&T e a Sprint encaminharam as preocupações para a GSM Association (uma entidade comercial de telecomunicações)

GSM disse à Vice que embora apreciem os esforços feitos pelos SLabs para o público, as questões de segurança; no entanto, a pesquisa inclui "nenhuma vulnerabilidade nova" que o corpo não conhecia.

Os pesquisadores do SLabs apresentarão suas descobertas na conferência Black Hat de dezembro na Europa.

Leia também: China proíbe publicação de falsificações sem divulgação adequada
Nossas escolhas para o melhor teclado Bluetooth da Amazon Fire TV Stick
O Amazon Fire TV Stick é um ótimo complemento para qualquer casa, com toneladas de aplicativos e serviços de streaming. O controle remoto que vem com...
Nossas escolhas para os melhores decodificadores IPTV 2021
IPTV é uma ótima maneira de assistir a filmes, programas de TV ou esportes, dando ao usuário controle sobre o conteúdo que deseja assistir. Por exemp...
Como adicionar um cabo Ethernet a um dispositivo Amazon Fire TV e interromper o buffer
O Amazon Fire TV Stick é uma ótima maneira econômica de transmitir mídia para uma TV. Embora possa ser um ótimo dispositivo, ele precisa de um bom si...