Abonner
SIKKERHET

Sikkerhetsselskap: – SMS-arvtakeren RCS har alvorlige sikkerhetshull

Cropped shot of people holding phone and texting
Cropped shot of people holding phone and texting Foto: Colourbox/30516531
Del
Kommenter
Eigil KnudsenEigil Knudsen
2. des. 2019 - 16:01

RCS (Rich Communications Services) er navnet på det som er ment å bli arvtakeren til SMS-teknologien, med Google som hoved-initiativtaker. Nå viser det seg at løsningen har til dels alvorlige sikkerhetshull, melder nettstedet Motherboard.

Sikkerhetsforskere hos Security Research Labs (SRLabs) rapporterer at implementering av RCS kan legge til rette for at hackere kan avlytte og manipulere kommunikasjon, ta over brukerkontoer, begå identitetssvindel og spore brukere.

Gjeninnfører feil fra 1990-tallet

Google sliter med å få med seg mange mobiloperatører til å støtte meldingstjenesten RCS. Nå gjør selskapet en nødvendig endring i strategien.
Les også

Slik skal Google få fart på bruken av SMS-arvtakeren RCS

SRLabs fant blant annet at den mest utbredte RCS-klienten, Android Messages, ikke implementerer tilstrekkelig domene- og sertifikatverifisering, og at noen RCS-kjernenoder ikke har på plass et effektivt system for verifisering av brukeridentitet.

Sikkerhetsselskapet skal ikke ha funnet problemer med selve RCS-standarden i seg selv, men derimot med måten teknologien implementeres på av de ulike teleselskapene.

Deler av standarden er ennå ikke definert, som innebærer at selskapene til dels kan implementere standarden på sin egen måte – noe som igjen åpner for feil.

Ifølge SRLabs tilsvarer funnene mange av de problemene den eksisterende SMS-standarden også slet med da den først ble introdusert.

– Alle ser ut til å gjøre feil akkurat nå, men på ulike måter. [...] Alle disse feilene fra 90-tallet er nå i ferd med å bli gjenoppfunnet og reintrodusert. Den rulles nå ut for over en milliard mennesker som alle rammes av dette, sa sikkerhetsforsker hos SRLabs Karsten Nohl til Motherboard.

Introdusert i Norge

Med RCS, eller SMS+ som det også kalles, kan brukerne sende blant annet bilder og kartdata ved hjelp SMS-appen, dersom denne støtter dette.
Les også

Telenor skrudde faktisk av RCS-støtten i fjor. Planlegger relansering

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Gi hjemmekontoret et løft med riktig videomøteutstyr

Noen av funnene skal presenteres i større detalj under hackerkonferansen Black Hat Europe 2019, som varer fra 2. til 5. desember i år.

RCS-implementering er ifølge SRLabs nå i gang i 67 land. I Norge var Telenor blant de første mobiloperatørene i verden som ble med på Googles initiativ om å ta i bruk RCS-teknologien, og selskapet var i 2017 først ute med å lansere en RCS-basert tjeneste i Norge – kalt SMS+.

Som vi meldte i juni i år skrudde Telenor imidlertid av RCS-støtten i fjor, trolig fordi den ikke fungerte helt som ønsker. 

Digi.no har kontaktet Telenor med spørsmål om hvordan selskapet forholder seg til de nye funnene til SRLabs, og vil oppdatere artikkelen når svaret foreligger.

RCS-initiativet startet formelt i 2016 som et samarbeid mellom en rekke store mobiloperatører, Google og GSM Association. Idéen er samkjøring av operatørene rundt en universell profil basert på GSMAs RCS-spesifikasjon og en RCS-klient for Android som Google utvikler i samarbeid med operatører og enhetsleverandører.

Les også: Lanserte neste generasjon SMS. Hevder løsningen vil snu om på nordmenns forhold til tekstmeldinger »

Les mer om:
MOBILTELEFONIRCSSIKKERHETTELEKOM
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
    En tjeneste fra