Google RCS可与iMessage媲美 但目前仍是一场安全噩梦
作为市面上最受用户喜爱的消息传递服务之一,苹果 iMessage 算是立下了一个业界标杆。如果你已经购买了 iPhone、iPad、Mac,可以很方便地互通使用。与此同时,谷歌希望携手运营商、通过富通讯服务(RCS)来吸引更多用户,这显然依赖于 Android 的巨大市场占有率。遗憾的是,经过多年的发展,安全性仍是 Google RCS 的一个短板。
安全研究人员支出,RCS 不仅没有像 iMessage 一样做到端到端加密,且事实证明其在用户隐私和数据安全性上留下了巨大的隐患。
SRLabs 研究人员向 Motherboard 解释称:RCS 的第一个问题,就是在安全措施方面缺乏统一性。用户数据存在被泄露的风险,因为某些市场中可利用 RCS 来显示文本消息和呼叫内容、或查明用户的位置。
然而这个问题,并非出自 RCS 标准本身,而是移动运营商的实现方法上。RCS 旨在提供可与 iMessage 相媲美的丰富短信体验,并成为 Android 智能机上的默认消息应用。
苹果目前尚未宣布支持 RCS,因而只有谷歌单方面在推动。安全研究人员 Karsten Nohl 亦表示:“大家似乎都在以不同的方式犯错,对许多网络而言,这其实算是一种倒退”。
显然,一些运营商通过 IP 地址来识别用户,这就是他们提供相应配置文件的方式。但 Nohl 解释称:“您在手机上安装的任何应用程序,即使您没有授予任何权限,也可以请求调用该文件”。
如此一来,每款 App 都可以获取素有短信和语音呼叫者的用户名 / 密码,这是一个相当出人意料的 bug 。
此外,运营商通过发送六位数的验证码短信来验证 RCS 用户,却没有对尝试次数作一定的限制,导致攻击者可通过暴力来破解安全代码。
鉴于五分钟即可完成一百万次尝试,攻击者亦可在同样短的时间内顺利摸到 RCS 配置文件。庆幸的是,GSMA 和运营商已经意识到了这些问题,并且可能正在采取补救措施。
需要注意的是,尽管 SRLabs 未公开细节,但其中一些漏洞仍可能被恶意行为者利用,毕竟目前已有多达 100 家移动运营商启用了 RCS 。感兴趣的朋友,可留意今年 12 月举办的欧洲黑帽大会。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 总书记的一周 4959920
- 2 外交部:台湾是中国一省 没独立地位 4932633
- 3 伊朗总统遗体已被送往公墓 4895310
- 4 数据彰显经济运行强劲脉动 4756072
- 5 专家称十年后房子不可能卖白菜价 4657676
- 6 汪峰新女友曾参加《非诚勿扰》 4599469
- 7 吴艳妮登上英国报纸:被赞迷人 4430846
- 8 #狐妖小红娘月红篇# 4312930
- 9 新疆辟谣楼兰故城门票3500元 4241719
- 10 以色列总理涉嫌战争罪被申请逮捕令 4178346