test adv
,

Новая технология для замены SMS подвергает пользователей простейшему взлому

Хакеры, использующие уязвимости RCS, могут красть одноразовые пароли и вносить изменения в онлайн-аккаунты жертв

Во второй половине 2019 года компания Google и группа сотовых операторов США начали внедрять новую коммуникационную технологию Rich Communication Services (RCS). Она готова заменить традиционные звонки и обеспечить новые возможности обмена сообщениями, сделав нативные SMS намного более функциональными. Не успел стандарт RCS начать развёртывание, как исследователи безопасности фирмы SRLabs обнаружили в технологии критическую уязвимость, которая позволяет злоумышленникам захватывать учётные записи пользователей и воровать деньги с их банковских счетов.

Технология RCS основана на распространённых интернет-протоколах, таких как SIP и HTTP, и использует их для реализации групповых чатов, видеозвонков, передачи файлов и других функций, сравнимых с популярными мессенджерами. Как оказалось, во многих сетях мобильной связи процесс перехода на RCS плохо защищён и не осуществляет проверку доменов и сертификатов должным образом, что привело к значительной бреши в безопасности. Таким образом, хакеры могут удалённо получать доступ к личной информации своих жертв путём кражи файлов конфигурации RCS, содержащих учётные данные SIP и HTTP. В данном случае вина в основном лежит на невнимательных операторах.

Новая технология для замены SMS подвергает пользователей простейшему взлому
«Основная проблема заключается в том, что клиент RCS, в том числе официальное приложение для обмена сообщениями Android, неправильно проверяет, совпадает ли удостоверение сервера с идентификатором, предоставленным сетью на этапе инициализации. Этот факт может быть использован путём подмены DNS, позволяя хакеру находиться в середине зашифрованного соединения между мобильным и сетевым ядром RCS», — из отчёта SRLabs.

Некоторые базовые узлы RCS не позволяют эффективно распознавать личность пользователя. Более того, из-за недоработок в системе защиты против них возможен целый ряд различных хакерских атак. В результате у злоумышленников есть возможность получать IP-адреса, подделывать доменное имя и идентификаторы вызывающего абонента, перехватывать сессии, заниматься мошенничеством посредством отправки специальных SIP-сообщений, красть одноразовые пароли или даже отслеживать местоположение пользователей без сложного оборудования и дополнительных целевых данных.

Согласно экспертам SRLabs, обнаруженные уязвимости можно исправить. Предложения к поправкам включают использование надёжных одноразовых кодов безопасности и встроенной в SIM-карту информации для аутентификации пользователя. Используемый клиент для работы с RCS (например, приложение «Сообщения Android») должен подключаться только к доверенным доменам и проверять все цифровые сертификаты.


Последнее изменение:
 
askazanov
askazanov, 2 декабря 2019, 06:31   #   (...)
А зачем заново изобретать «колесо»?
Ответить
Loafer19
Loafer19, 2 декабря 2019, 11:21   #   (...)
А зачем изобретать смартфон?
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием