Los investigadores de seguridad de SRLabs han encontrado una serie de vulnerabilidades con la forma en que los operadores de todo el mundo están implementando RCS, el nuevo estándar de mensajería diseñado para reemplazar SMS, Motherboard informa . En algunos casos, estos problemas podrían comprometer los datos de ubicación de un usuario, podrían permitir que sus mensajes de texto o llamadas sean interceptados, o podrían permitir que se falsifique su número de teléfono.
Un problema identificado en la implementación de un operador no identificado podría permitir que cualquier aplicación en su teléfono descargue su archivo de configuración RCS, por ejemplo, dándole a la aplicación su nombre de usuario y contraseña y permitiéndole acceder a todas sus llamadas de voz y mensajes de texto. En otro caso, el código de seis dígitos que utiliza un operador para verificar la identidad de un usuario era vulnerable a ser adivinado por un tercero por la fuerza bruta. Estos problemas se encontraron después de que los investigadores analizaron una muestra de tarjetas SIM de varios operadores diferentes.
“Todos estos errores de los años 90 se reinventan, reintroducen”
RCS es un nuevo estándar de mensajería que está diseñado para reemplazar un día los SMS como un medio para enviar mensajes de texto. Admite muchas de las características introducidas por los clientes de mensajería modernos como iMessage y WhatsApp, incluidos los recibos de lectura y los indicadores de tipeo (aunque no el cifrado de extremo a extremo), en un estándar multiplataforma con el que las diferentes compañías pueden integrarse. Los investigadores no identificaron ningún problema con el estándar en sí; es la forma en que los operadores lo están implementando, ese es el problema.
SRLabs no compartió qué agujeros de seguridad se encontraron con qué operadores, pero señaló que el estándar está siendo implementado por al menos 100 operadores en todo el mundo, incluidas las cuatro grandes empresas de EE. UU. “Encontramos que en realidad es un paso atrás para muchas redes [en comparación con SMS]”, dijo Karsten Nohl de SRLabs a Motherboard . “Todos estos errores de los años 90 se reinventan, se reintroducen”.
Cuando se contactó para hacer comentarios, un portavoz del organismo comercial que representa a los operadores de red, la GSMA, dijo a Motherboard que los investigadores de SRLabs presentarán sus hallazgos a la organización la próxima semana, y que creyeron que Hay contramedidas disponibles para solucionar los problemas que han identificado. “Agradecemos a los investigadores por permitir a la industria la oportunidad de considerar sus hallazgos. La GSMA agradece cualquier investigación que mejore la seguridad y la confianza del usuario de los servicios móviles “, dijo el portavoz.
A pesar de sus ventajas sobre los SMS, RCS ha tardado en implementarse. El estándar se anunció el año pasado , pero no fue hasta este mes que Google comenzó a convertirlo en la plataforma principal de mensajes de texto para mensajes de Android, y ese cambio no afectará lo mejor- vende el fabricante de teléfonos Android en los EE. UU., Samsung, porque por defecto ofrece su propio cliente de mensajería. AT&T, Verizon, T-Mobile y Sprint también planean ofrecer soporte a través de su propia aplicación de mensajes de texto el próximo año. Mientras tanto, Apple se ha negado a comentar si admitirá el estándar.
SRLabs presentará sus hallazgos en la conferencia Black Hat Europe en diciembre, después de mostrar parte de su trabajo en la conferencia DeepSec de hoy.
