谷歌的RCS消息可以与iMessage相媲美

iMessage是一个最好的平台,苹果做过——一个短信替代可能做更多的保持忠于iOS的iPhone用户比其他任何应用程序。它可以在设备(iPhone、iPad和Mac),它是加密的,它无缝地处理普通短信之间的过渡和丰富的即时消息传递经验我们都想要的。最好的是,运营商对iMessage没有发言权或控制权。

这让我们想到了Android,谷歌多年来一直在尝试寻找一款像样的iMessage替代品,但都失败了。最有可能实现的是RCS(富通信服务),谷歌和运营商希望使用它来代替SMS。不幸的是,RCS不仅不像iMessage那样端到端加密,而且事实证明,当涉及到其他用户数据安全和隐私实践时,它也是一个噩梦。

SRLabs的研究人员向主板解释说,第一个RCS实现在安全措施方面缺乏一致性。用户数据有被泄露的风险,因为在某些市场,RCS可能被用来泄露短信和电话的内容,或者确定用户的位置。

问题不在于RCS标准,而在于移动运营商实现RCS标准的方式。RCS旨在提供与iMessage一样丰富的短信体验,应该会成为Android手机上的默认应用程序。苹果目前还没有宣布支持RCS。与此同时,谷歌也在推出自己的RCS版本。

“每个人现在似乎都搞错了,但方式不同,”安全研究人员Karsten Nohl告诉博客。“我们发现,对很多社交网络来说,这实际上是一种倒退。”

显然,一些运营商通过IP地址来识别用户,这就是他们提供相应配置文件的方式。但诺尔解释说,“你在手机上安装的任何应用程序,即使你没有给它任何权限,它也可以请求这个文件。”所以现在每个应用程序都能获得你的用户名和密码,用于你所有的短信和语音通话。和“这是意想不到的,”据研究人员说。

同样令人不安的是另一个错误,运营商发送带有六位数代码的文本消息来验证RCS用户,但没有输入限制,这意味着安全代码可以通过暴力破解。“一百万次攻击只需要五分钟,”研究人员解释说,这就是攻击者访问目标RCS配置文件所需要的时间。

好消息是,GSMA和运营商已经意识到了这些问题,并且可能正在进行修复。研究人员将在明年12月的黑帽欧洲会议上进一步解释他们的RCS发现。

然而,这并没有改变这样一个事实,即目前有多达100家移动运营商启用了RCS,其中包括欧洲和美国的几家。而且,由于SRLabs没有披露那些RCS实现不安全的运营商的名字,其中一些漏洞可能会被恶意行为者利用。但是,该报告暂时没有提供任何这类活动的证据。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。