Эксперт по криптографии Карстен Нол выразил своё мнение, относительно RCS от Google:
“Кажется, что ошибки существуют у всех, но они все разные. Я считаю, что на самом деле это шаг назад для многих сетей”.
Очевидно, некоторые операторы идентифицируют пользователей по их IP-адресу, и именно так они предоставляют соответствующий файл конфигурации. Но Карстен Нол объясняет:
“Любое приложение, которое вы устанавливаете на свой телефон, даже если вы не даете ему никаких разрешений, может запросить этот файл. Так что теперь каждое приложение может получить ваше имя пользователя и пароль для всех ваших текстовых сообщений и всех голосовых вызовов. Для многих это не является секретом”.
Точно так же беспокоит другая ошибка, когда оператор отправляет текстовое сообщение с шестизначным кодом для проверки пользователя RCS. Это значит, что код безопасности может быть взломан с помощью атак методом подбора.
Хорошая новость заключается в том, что GSMA и операторы знают об этих проблемах, и вероятные исправления уже должны войти в силу. Исследователи более подробно расскажут о своих результатах RCS, на конференции Black Hat Europe в декабре следующего года.
Тем не менее, это не меняет того факта, что RCS теперь поддерживают до 100 операторов мобильной связи, в том числе несколько в Европе и США. И поскольку SRLabs не раскрывает имена носителей, чьи реализации RCS не защищены, некоторые из этих уязвимостей могут быть использованы злоумышленниками. Однако, в отчете пока нет доказательств каких-либо подобных действий.
Источник: https://leisurecentre.ru/google-rcs-mozhet-nesti-opasnost-dlya-polzovatelej-android-chast-2/