De mauvaises implémentations de RCS créent de grandes vulnérabilités, affirment les chercheurs en sécurité

Les chercheurs en sécurité de SRLabs ont découvert un certain nombre de vulnérabilités dans la manière dont les opérateurs du monde entier utilisent RCS, la nouvelle norme de messagerie conçue pour remplacer les SMS. Carte mère rapports. Dans certains cas, ces problèmes peuvent compromettre les données de localisation d’un utilisateur, autoriser l’interception de ses SMS ou de ses appels, ou autoriser la falsification de son numéro de téléphone.

Un problème identifié dans la mise en œuvre d'un opérateur sans nom pourrait permettre à n'importe quelle application de votre téléphone de télécharger votre fichier de configuration RCS, par exemple en donnant à l'application votre nom d'utilisateur et votre mot de passe et en lui permettant d'accéder à tous vos appels vocaux et messages texte. Dans un autre cas, le code à six chiffres utilisé par un transporteur pour vérifier l’identité de l’utilisateur était susceptible d’être deviné par la force brutale d’un tiers. Ces problèmes ont été découverts après que les chercheurs eurent analysé un échantillon de cartes SIM de plusieurs opérateurs différents.

RCS est une nouvelle norme de messagerie conçue pour remplacer un jour les SMS comme moyen d’envoyer des messages texte. Il prend en charge de nombreuses fonctionnalités introduites par les clients de messagerie modernes tels qu'iMessage et WhatsApp, y compris les accusés de lecture et les indicateurs de frappe (bien que le cryptage de bout en bout), dans une norme multiplate-forme que différentes entreprises peuvent intégrer. Les chercheurs n'ont identifié aucun problème avec la norme elle-même; c’est la façon dont les transporteurs le déploient, c’est le problème.

SRLabs n'a pas indiqué quelles failles de sécurité avaient été trouvées avec quels transporteurs, mais a indiqué que la norme est mise en œuvre par au moins 100 transporteurs dans le monde, y compris les quatre grandes maisons de disques américaines. "Nous trouvons que c'est en fait un pas en arrière pour beaucoup de réseaux (comparé aux SMS)", a déclaré Karsten Nohl de SRLabs Carte mère. "Toutes ces erreurs des années 90 sont réinventées, réintroduites."

Lorsqu’elle a été contactée pour des commentaires, la GSMA, un porte-parole de l’organe professionnel représentant les opérateurs de réseau, a déclaré: Carte mère que les chercheurs de SRLabs présenteront leurs résultats à l’organisation la semaine prochaine et qu’ils pensaient que leurs contre-mesures étaient disponibles pour résoudre les problèmes identifiés. «Nous sommes reconnaissants aux chercheurs d’avoir donné à l’industrie l’occasion de prendre en compte leurs conclusions. La GSMA se félicite de toute recherche qui améliore la sécurité et la confiance des utilisateurs des services mobiles », a déclaré le porte-parole.

Malgré ses avantages par rapport aux SMS, RCS a mis du temps à se déployer. La norme a été annoncée l’année dernière, mais ce n’est que ce mois-ci que Google a commencé à en faire la principale plate-forme de messagerie texte pour Android Messages. Cette modification n’affectera pas le fabricant de téléphones Android le plus vendu aux États-Unis, Samsung, car Par défaut, il propose son propre client de messagerie. AT & T, Verizon, T-Mobile et Sprint envisagent également de proposer une assistance via leur propre application de messagerie texte l'année prochaine. Dans le même temps, Apple a refusé de préciser s’il prendrait en charge la norme.

SRLabs présentera ses conclusions à la conférence Black Hat Europe en décembre, après avoir présenté une partie de ses travaux à la conférence DeepSec aujourd’hui.

Traduit de la source : https://www.theverge.com/2019/11/29/20987738/bad-rcs-implementations-are-creating-big-vulnerabilities-security-researchers-claim

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.