RCS Büyük Güvenlik Açıkları Yaratıyor Mu ?
SRLabs’daki güvenlik araştırmacıları, dünya çapındaki taşıyıcıların SMS’yi değiştirmek için tasarlanan yeni mesajlaşma standardı RCS’yi uygularken, raporlarında bir dizi güvenlik açığı buldular.
Bazı durumlarda, bu sorunlar kullanıcının konum verilerini tehlikeye atabilir, metin mesajlarının veya aramaların engellenmesine izin verebilir veya telefon numaralarının taklit edilmesine izin verebilir.
Adsız bir taşıyıcının uygulamasında tespit edilen bir sorun, telefonunuzdaki herhangi bir uygulamanın RCS yapılandırma dosyanızı indirmesine izin verebilir; örneğin, uygulamaya, kullanıcı adınızı ve şifrenizi vererek ve tüm sesli aramalarınıza ve metin mesajlarınıza erişmesine izin verebilir. Başka bir durumda, bir taşıyıcının bir kullanıcının kimliğini doğrulamak için kullandığı altı basamaklı kod, üçüncü taraflarca kaba kuvvetle tahmin edilmeye açıktı. Bu problemler, araştırmacılar birkaç farklı taşıyıcıdan bir SIM kart örneğini analiz ettikten sonra bulundu.
RCS, bir gün kısa mesaj göndermenin bir yolu olarak SMS’ i değiştirmek için tasarlanmış yeni bir mesajlaşma standardıdır. İMessage ve WhatsApp gibi modern mesajlaşma istemcileri tarafından, okundu bilgisi ve yazım göstergeleri de dahil olmak üzere farklı şirketlerin entegre edebileceği bir çapraz platform standardında sunulan özelliklerin çoğunu destekliyor. Araştırmacılar standardın kendisiyle ilgili herhangi bir problem tespit etmedi.
SRLabs, hangi taşıyıcılarla hangi güvenlik deliklerinin bulunduğunu paylaşmadı, ancak standardın dört ABD başkanı da dahil olmak üzere dünya çapında en az 100 taşıyıcı tarafından uygulandığını belirtti.
SMS üzerindeki avantajlarına rağmen, RCS’ nin yayılması yavaş oldu. Standart geçen yıl açıklandı, ancak Google’ ın Android Mesajları için birincil mesajlaşma platformu haline getirmeye başladığı ve bu değişikliğin ABD’ deki en çok satan Android telefon üreticisini etkilemedi, çünkü Samsung’ un varsayılan olarak kendi mesajlaşma istemcisini sunuyor. AT&T, Verizon, T-Mobile ve Sprint de gelecek yıl kendi manifatura uygulamasıyla destek sunmayı planlıyor. Bu arada, Apple standardı destekleyip desteklemediği konusunda yorum yapmayı reddetti.
SRLabs, bugünkü DeepSec konferansındaki çalışmalarının bir kısmını gösterdikten sonra Aralık ayında Black Hat Avrupa konferansında bulgularını sunacak.
