2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
iMessage是一個(gè)最好的平臺(tái),蘋果做過——一個(gè)短信替代可能做更多的保持忠于iOS的iPhone用戶比其他任何應(yīng)用程序。它可以在設(shè)備(iPhone、iPad和Mac),它是加密的,它無縫地處理普通短信之間的過渡和豐富的即時(shí)消息傳遞經(jīng)驗(yàn)我們都想要的。最好的是,運(yùn)營商對(duì)iMessage沒有發(fā)言權(quán)或控制權(quán)。
這讓我們想到了Android,谷歌多年來一直在嘗試尋找一款像樣的iMessage替代品,但都失敗了。最有可能實(shí)現(xiàn)的是RCS(富通信服務(wù)),谷歌和運(yùn)營商希望使用它來代替SMS。不幸的是,RCS不僅不像iMessage那樣端到端加密,而且事實(shí)證明,當(dāng)涉及到其他用戶數(shù)據(jù)安全和隱私實(shí)踐時(shí),它也是一個(gè)噩夢(mèng)。
SRLabs的研究人員向主板解釋說,第一個(gè)RCS實(shí)現(xiàn)在安全措施方面缺乏一致性。用戶數(shù)據(jù)有被泄露的風(fēng)險(xiǎn),因?yàn)樵谀承┦袌?chǎng),RCS可能被用來泄露短信和電話的內(nèi)容,或者確定用戶的位置。
問題不在于RCS標(biāo)準(zhǔn),而在于移動(dòng)運(yùn)營商實(shí)現(xiàn)RCS標(biāo)準(zhǔn)的方式。RCS旨在提供與iMessage一樣豐富的短信體驗(yàn),應(yīng)該會(huì)成為Android手機(jī)上的默認(rèn)應(yīng)用程序。蘋果目前還沒有宣布支持RCS。與此同時(shí),谷歌也在推出自己的RCS版本。
“每個(gè)人現(xiàn)在似乎都搞錯(cuò)了,但方式不同,”安全研究人員Karsten Nohl告訴博客。“我們發(fā)現(xiàn),對(duì)很多社交網(wǎng)絡(luò)來說,這實(shí)際上是一種倒退。”
顯然,一些運(yùn)營商通過IP地址來識(shí)別用戶,這就是他們提供相應(yīng)配置文件的方式。但諾爾解釋說,“你在手機(jī)上安裝的任何應(yīng)用程序,即使你沒有給它任何權(quán)限,它也可以請(qǐng)求這個(gè)文件。”所以現(xiàn)在每個(gè)應(yīng)用程序都能獲得你的用戶名和密碼,用于你所有的短信和語音通話。和“這是意想不到的,”據(jù)研究人員說。
同樣令人不安的是另一個(gè)錯(cuò)誤,運(yùn)營商發(fā)送帶有六位數(shù)代碼的文本消息來驗(yàn)證RCS用戶,但沒有輸入限制,這意味著安全代碼可以通過暴力破解。“一百萬次攻擊只需要五分鐘,”研究人員解釋說,這就是攻擊者訪問目標(biāo)RCS配置文件所需要的時(shí)間。
好消息是,GSMA和運(yùn)營商已經(jīng)意識(shí)到了這些問題,并且可能正在進(jìn)行修復(fù)。研究人員將在明年12月的黑帽歐洲會(huì)議上進(jìn)一步解釋他們的RCS發(fā)現(xiàn)。
然而,這并沒有改變這樣一個(gè)事實(shí),即目前有多達(dá)100家移動(dòng)運(yùn)營商啟用了RCS,其中包括歐洲和的幾家。而且,由于SRLabs沒有披露那些RCS實(shí)現(xiàn)不安全的運(yùn)營商的名字,其中一些漏洞可能會(huì)被惡意行為者利用。但是,該報(bào)告暫時(shí)沒有提供任何這類活動(dòng)的證據(jù)。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。