SRLabs: операторы неправильно внедряют замену SMS и ставят под угрозу приватность сообщений и звонков абонентов Материал редакции

Компании используют технологию таким образом, что подвергают перехвату данные пользователей.

В закладки

Американские сотовые операторы начали внедрять неправильные реализации стандарта RCS на замену SMS. Из-за этого данные пользователей оказались под угрозой прослушивания и перехвата. О неудачном внедрении RCS сообщил Vice со ссылкой на исследование компании по кибербезопасности Security Research Labs (SRLabs).

По словам сотрудника SRLabs Карстен Ноля (Karsten Nohl), крупные компании вроде Vodafone без спроса и уведомлений начали внедрять технологию, которая «поставит под угрозу сотни миллионов людей».

Для исследования SRLabs протестировали SIM-карты нескольких операторов и проверила их взаимодействие с RCS-совместимыми доменами. В компании назвали уязвимым не сам стандарт RCS, а его реализации у разных операторов. Из-за того, что RCS не унифицирован, провайдеры нашли самостоятельные способы его внедрения.

Похоже, что на данный момент все внедряют его неправильно, но разными способами.

Карстен Ноль
исследователь SRLabs

Проблемы некоторых операторов заключались в том, как они присылают абонентам RCS-конфигурации. В одном из случаев сервер предоставлял файл для конкретного устройства, идентифицируя его по IP-адресу. По словам исследователей, из-за этого любое приложение на смартфоне может запросить RCS-конфигурацию и получить логин и пароль ко всем текстовым сообщениям и звонкам на аппарате.

Обычно RCS представляет собой приложение в телефоне, через которое нужно войти в сеть с логином и паролем. В одном из случаев оператор присылал сообщение с кодом из шести цифр, чтобы подтвердить авторизацию пользователя RCS и давал неограниченное число попыток ввести данные. По словам Ноля, можно было провести миллион попыток за пять минут.

Все эти ошибки пришли из 90-х и теперь переизобретаются и заново вводятся. Сейчас они затрагивают более миллиарда человек.

Карстен Ноль
исследователь SRLabs

В SRLabs отметили, что RCS внедрили как минимум 100 мобильных операторов по всему миру, в том числе AT&T, T-Mobile, Sprint и Verizon. Исследователи не уточнили конкретные уязвимости, они представят доклад о них на конферецнии Black Hat в Европе в декабре 2019 года и частично расскажут об уязвимостях на мероприятии DeepSec 6 декабря.

В Verizon и T-Mobile не ответили на запрос о комментарии Vice. Представители Vodafone заявили, что в курсе исследований SRLabs и уже приняли ряд мер для защиты своей реализации RCS.

В AT&T и Sprint журналистов направили в ассоциацию GSM. Там Vice рассказали, что уже знают о проблемах RCS от SRLabs и пояснили, что затронуты далеко не все реализации протокола.

RCS — новый стандарт, который операторы начали развёртывать для замены SMS. Он поддерживает больше возможностей для общения, в том числе передачу фотографий, групповые чаты и пересылку файлов.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0441\u0432\u044f\u0437\u044c","\u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u044b","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f","\u0432\u0437\u043b\u043e\u043c\u044b","sms"], "comments": 13, "likes": 16, "favorites": 2, "is_advertisement": false, "subsite_label": "tech", "id": 129084, "is_wide": false, "is_ugc": false, "date": "Sun, 01 Dec 2019 17:14:39 +0300", "is_special": false }
0
{ "id": 129084, "author_id": 50011, "diff_limit": 1000, "urls": {"diff":"\/comments\/129084\/get","add":"\/comments\/129084\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/129084"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
13 комментариев
Популярные
По порядку
Написать комментарий...
6

Пусть перехватывают, чего вам скрывать.

Ответить
2

Жизнь Меглина настолько скучная, что даже товарищъ Майор не смотрит его переписку.

Ответить
0

Да кто сейчас пользуется СМС, разве только для OTP

Ответить
6

Для множества разнообразных авторизаций, в том числе в банковских сервисах.

Ответить
6

Ну я про это и написал (One Time Password)

Ответить
3

А ничего что это и есть самое важное что только может быть.

Ответить
1

Согласен

Ответить
2

И я бы с удовольствием отказался везде в пользу физического или хотя бы программного аутентификатора
Жаль, что у некоторых этого либо нет, либо всё равно просят привязать телефон в качестве резерва вместо файла с резервными кодами

Ответить
2

Так же не давно обнаружил такую функцию, как можно посмотреть номер если тебе звонят со скрытого номера. то есть это платная услуга, бред. Один человек платит за то что бы засекретить свой номер, второй платит что - бы его рассекретить

Ответить
2

Услуга АнтиАнтиАОН уже много лет существует

Ответить
0

мтс недавно выкатил типа суперфичу, платная услуга по фильтрации спамных звонков, откуда звонят по слитой ими же базе пд

Ответить
1

От операторов вообще жизни людей зависят

Ответить
Обсуждаемое
Разборы
Как Китай нарушает права человека и чем чревата безнаказанность китайских властей
События в Гонконге (массовые избиения протестующих полицейскими с материка) — не единственное, что происходит на территории КНР и заслуживает внимания международного сообщества.
Интернет и мемы
«Анти-Грета»: 16-летняя шведская активистка, выступающая против пропаганды ЛГБТ и мигрантов, стала героиней в рунете
Как в России противопоставили девушку Грете Тунберг и при чём тут европейские правые СМИ.
Новости
Суд оштрафовал россиянина за «возбуждение вражды» к русским
Махрового «ватника» наказали за осуждение экстремистской организации «Правый сектор».
Популярное за три дня
Новости
«Новая Газета» и «Эхо Москвы» взяли Егора Жукова на работу
В «Новой» он будет работать корреспондентом отдела политики и экономики, а на «Эхе» — внештатным обозревателем.
Новости
«Чем страшнее моё будущее, тем шире улыбка, с которой я смотрю в его сторону​»: Егор Жуков выступил с последним словом
Студента ВШЭ обвиняют в призывах к экстремизму из-за четырёх видео на его YouTube-канале. Для него запросили четыре года тюрьмы.
Разборы
Как Китай нарушает права человека и чем чревата безнаказанность китайских властей
События в Гонконге (массовые избиения протестующих полицейскими с материка) — не единственное, что происходит на территории КНР и заслуживает внимания международного сообщества.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]