خانه / تکنولوژی / پروتکل پیام‌رسانی RCS بي زوري‌های امنیتی متعددی دارد

پروتکل پیام‌رسانی RCS بي زوري‌های امنیتی متعددی دارد

پروتکل پیام‌رسانی RCS توسط ادعای هدیه‌ی استانداردی جدید جلاجل مربوط به حوزه‌ی پیام‌رسانی معرفی خواهد شد؛ اما به مقصد‌‌دلیل پیاده‌‌سازی ضعیف، اشکالات امنیتی زیادی دارد و به مقصد‌راحتی هک انجام خواهد شد.

امروزه، اکثر اپراتورهای مخابراتی جلاجل سرتاسر كره ارض ادعا می‌کنند آینده‌ی پیام‌رسانی كره زمين پیام‌های متنی برخودهموار كردن مراوده‌های ویدئویی، جلاجل پروتکلی به مقصد‌غيرماذون RCS یا Wealthy Communication Companies به هر حال انجام خواهد شد. RCS را می‌توان جایگزین SMS خواند که جواب به مقصد همه‌ی پیام‌ها را مثل iMessage به مقصد‌لفظ مراوده صوتی و تصویری ممکن می‌کند. گوگل ماه ماضي اعلام انجام بده RCS را به مقصد‌زودی تعدادی اپلیکیشن Messages كلاه خود جلاجل تمامی گوشی‌های اندرویدی جلاجل آمریکا هدیه خواهد انجام بده.

مقاله‌های مرتبط:

رویکرد کنونی اثر داغ می‌دهد جلاجل آینده‌ی خير‌استريوفونيك گرد هم آمدن، RCS به مقصد ساختارگرايي پیش‌فرض پیام‌رسانی میلیاردها نفر کاربر تبدیل شود. باتوجه‌كپل پیاده‌سازی و تمایل شدید اپراتورها، محققان امنیتی بررسی زیرساخت پروتکل جدید را الزامی دیدند. آن‌ها زیرساخت‌های RCS را بررسی و متأسفانه كلكسيون‌ای كره زمين آسیب‌پذیری‌های نگران‌کننده پیدا کردند.

کنفرانس امنیتی Black Hat سنه چهارشنبه‌ی ماضي جلاجل لندن برگزار شد. رديف نظامي شيخ ها‌ی ایمنی SRLabs كره زمين کشورآلمان جلاجل کنفرانس مذکور محضر داشت و كلكسيون‌ی مشکلاتی را به مقصد‌نمایش گذاشت که نحوه‌ی پیاده‌سازی RCS گوگل و اپراتورهای افزونتر را اثر داغ می‌داد. محققان امنیتی ادعا می‌کنند ایرادهای پیاده‌سازی باعث می‌شوند مجرمان امنیتی توانایی رهگیری و تغییردادن پیام‌های متنی و مراوده‌ها را داشته باشند. جلاجل چندی كره زمين ميراث ها، هکر احكام توسط محضر جلاجل وای‌فای مشترک توسط قربانی و توسط كاربرد كره زمين طوق‌های جنون مردم آزاري، توانایی نفوذ به مقصد پروتکل پیام‌رسانی را خواهد داشت.

Android Messages

رديف نظامي امنیتی SRLabs جلاجل کنفرانس امنیتی DeepSec جلاجل وین که هفته‌ی ماضي برگزار شد، مشکلات امنیتی RCS را گزارش ها داده صفت بويناك و جلاجل کنفرانس Black Hat، جزئیات بیشتری كره زمين طوق نفوذ مجرمان امنیتی را گزارش ها داد.

کارستن نول، بنیان‌جادادن RSLabs، ثابت شدن امنیتی باسابقه‌ای باریک که قبلا آسیب‌پذیری‌های امنیتی متعددی جلاجل سیستم‌های تلفنی کشف کرده باریک. او می‌گوید RCS كره زمين بینهایت جهات درمقایسه‌توسط پروتکل SS7 بالاتر نیست. SS7 پروتکلی توسط عمری زیاد كره زمين تاچند هزل گويي محسوب انجام خواهد شد که اپراتورها هنوز كره زمين آن تعدادی پیام‌رسانی و مراوده كاربرد می‌کنند. محققان امنیتی كره زمين اختصاصی‌ها پیش درزمينه‌ی مشکلات امنیتی پروتکل SS7 همچون شنود و تغییر پیام‌ها آگهی می‌دادند. سیستم‌‌های پیام‌رسانی مدرن‌نمناك همچون واتساپ و iMessage که كره زمين رمزنگاری نقالي كردن‌به مقصد‌نقالي كردن كاربرد می‌کنند، بینهایت كره زمين مشکلات امنیتی پیام‌رسانی را كره زمين بین برده‌بضع. نول می‌گوید پیاده‌سازی ضعیف RCS باعث انجام خواهد شد پروتکل مذکور برتری امنیتی درمقایسه‌توسط SMS نداشته باشد.

نول جلاجل کنفرانس Black Hat درزمينه‌ی مشکلات امنیتی RCS گفت:

وقتی شبکه‌ی ارائه‌دهنده‌ی فعاليت ها شما تصمیم می‌گیرد كره زمين RCS كاربرد کند، در محاصره قرار گرفتن هجوم بردن‌های سایبری آسیب‌پذیرتر می‌شوید. RCS به مقصد ما امکان می‌دهد پیام‌های متنی شما را بخوانیم و به مقصد مراوده‌های صوتی‌تان گوش دهیم. این قابلیت جلاجل SS7 هم صور داشت؛ اما آن پروتکل متعلق به مقصد هزل گويي‌ی ۱۹۸۰ باریک. پسفردا چندی كره زمين بدون شك مشکلات باردیگر جلاجل پروتکلی مدرن صور دارند که گوگل هم كره زمين آن پشتیبانی می‌کند.

پیاده‌سازی عمومی RCS هنوز به مقصد زمان زیادی نیاز دارد و توسط صور پشتیبانی گوگل، رویکرد باانصاف و سریعی نخواهد داشت. چندی كره زمين تولیدکنندگان گوشی‌های اندرویدی به مقصد‌جای كاربرد كره زمين اپلیکیشن پیش‌فرض Messages، كره زمين سرویس‌های اختصاصی كلاه خود كاربرد می‌کنند. به مقصد‌علاوه، بینهایت كره زمين اپراتورهای مخابراتی نیز سرویس اختصاصی كلاه خود را ارائه می‌کنند. جلاجل سمت افزونتر بازارگه، آیفون به مقصد‌هیچ‌وجه كره زمين سرویس گوگل پشتیبانی نمی‌کند و اپل نیز دستور كار‌ی مشخصی تعدادی پشتیبانی ندارد.

توسط صور صفت انحصارطلب مشکلات موجود، پیاده‌سازی RCS سنه‌به مقصد‌سنه گسترده‌نمناك انجام خواهد شد؛ به مقصد‌همین‌دلیل، بررسی ميراث ها امنیتی آن زیاد‌ازپیش اهمیت پیدا می‌کند. فراموش نکنید همین پیاده‌سازی گسترده و سریع دلیل ایجاد بینهایت كره زمين مشکلات امنیتی باریک؛ درنتیجه بازرسی‌ها باید جلاجل بدون شك مقام ها اولیه اعمال شوند.

SRLabs جلاجل ویدئو‌هایی که جلاجل کنفرانس Black Hat به مقصد‌نمایش گذاشت، طوق‌های متعددی تعدادی ثنايا‌برداری و نفوذ به مقصد پروتکل RCS اثر داغ داد. همه‌ی طوق‌ها به مقصد‌‌دلیل پیاده‌سازی گوگل یا هریک كره زمين اپراتورها و معمرين‌های افزونتر ایجاد شده‌بضع. یکی كره زمين ویدئوها اثر داغ می‌دهد وقتی گوشی هوشمندی توسط اعتبارنامه‌های اختصاصی جلاجل عيش RCS اپراتوری تأیید تعادل انجام خواهد شد، عيش تعدادی آدم كردن‌ی فعالیت كره زمين IP و شماره‌‌تلفن مذکور به مقصد‌ديباچه مؤلفه‌های تأیید هویت كاربرد می‌کند. وقتی هکر مفروضات شماره‌‌تلفن قربانی را داشته باشد و كره زمين شبکه‌ی وای‌فای مشترک توسط او كاربرد کند، توسط كاربرد كره زمين مفروضات مذکور توانایی جعل هویت را خواهد داشت. به مقصد‌ديباچه مثال، همکارانی که جلاجل یک دفتراسناد فعالیت یا جلاجل محیطی عمومی كره زمين یک وای‌فای مشترک كاربرد می‌کنند، توانایی چنین جعل هویتی را خواهند داشت.

محققان امنیتی جلاجل SRLabs طوق دیگری نیز تعدادی مخاطبان به مقصد‌نمایش گذاشتند که هکر توسط كاربرد كره زمين آن می‌تواند به مقصد‌ديباچه فرد واسط جلاجل تباني قربانی محضر پیدا کند. هکری که کنترل شبکه‌ی وای‌فای مقعد را جلاجل دستگاه بافندگي داشته باشد، توانایی چنین نفوذی خواهد داشت. به مقصد‌علاوه، ISP یا رايد‌های سازمانی نیز می‌توانند توسط دسترسی به مقصد عيش ISP، به مقصد فرایند پیام‌رسانی نفوذ کنند. مجرم سایبری می‌تواند بايسته سیستم غيرماذون دامنه‌ای را تغییر دهد که تلفن تعدادی پیداکردن عيش RCS به مقصد‌کار می‌گیرد. عيش مذکور حکم واسط بین فرستنده و گیرنده‌ی پیام را دارد.

اپلیکیشن پیام‌رسان اندرویدی پيش رو به مقصد RCS جلاجل زمان مبادي پیام،‌ تأییدیه‌ی TLS عيش را بررسی می‌کند. چنین روندی شبیه به مقصد زمانی باریک که مرورگر شما وب‌سایت HTTPS را واپسین کند. ازطرفی SRLabs می‌گوید اپلیکیشن مذکور هرگونه زردتشتي را حتی كره زمين عيش مجرم سایبری می‌پذیرد. رویکرد مذکور شبیه به مقصد مامومي امنیتی عمل می‌کند که به مقصد‌جای بررسی غيرماذون فرد جلاجل فهرست تأییدشده‌ی دائم الخمر، مهجور کارت شناسایی معاشر او را توسط رخصت‌‌اش مقایسه می‌کند. نول می‌گوید چنین اشتباهی واقعا سهل‌انگارانه باریک. به مقصد‌هرحال درنهایت مجرم سایبری مثل ویدئو زیر توسط نفوذ واسط می‌تواند پیام را بخواند و حتی تغییر دهد.

یکی كره زمين طوق‌های افزونتر نفوذ، كره زمين آسیب‌پذیری موجود جلاجل مقام ها ابتدایی مونس RCS جلاجل نظام ارباب رعيتي‌ها كاربرد می‌کند. وقتی گوشی هوشمندی جلاجل سیستم RCS مندرج انجام خواهد شد، فایل پیکربندی را دانلود می‌کند که اعتبارنامه‌های نظام ارباب رعيتي را نیز شامل انجام خواهد شد. نظام ارباب رعيتي تعدادی نشان دادن كلاه خود به مقصد عيش و دانلود فایل پیکربرندی، احكام باید قاتل IP داشته باشد که ازطرف اپراتور به مقصد نمره‌تلفن آن مرتبط فرض انجام خواهد شد. نول می‌گوید هر اپلیکیشن نامسلح‌کارانه‌ای حتی سوا دسترسی خاصی جلاجل اندروید، می‌تواند كره زمين بدون شك IP گوشی توسط عيش تباني ثابت کند. پشت بام كره زمين برقراری تباني، اعتبارنامه‌های گوشی را اپلیکیشن می‌دست كشيدن و هویت آن را جعلی‌ می‌کند. نول درنهایت می‌گوید نفوذ ازطریق فایل پیکربرندی حتی جلاجل گوشی‌هایی پیاده‌سازی‌کردنی خواهد صفت بويناك که هیچ‌گاه جلاجل سیستم RCS مندرج‌غيرماذون نکرده‌بضع.

اپراتورها جلاجل چندی ميراث ها تعدادی خودداری كره زمين نفوذ ازطریق فایل پیکربندی، کدی تعدادی تلفن فرستادن می‌کنند که کاربر تعدادی تأیید، باید آن را واصل کند. ازطرفی SRLabs ادعا می‌کند چندی اپراتورها، مبنا دفعات مجاز تعدادی رابط کد مدنظر را مسدود نکرده‌بضع؛ درنتیجه، هکر می‌تواند مهجور جلاجل پنج دقیقه مبنا کد نامحدودی واصل و امتحان کند. نول دراین‌به دفعات می‌گوید:

ما مهجور جلاجل پنج دقیقه فایل پیکربرندی شما را می‌دزدیم و كره زمين آن زمان برخودهموار كردن همیشه توانایی گوش‌وام گذاردن به مقصد مراوده‌ها و قرائت پیام‌های شما را داریم.

ناآرامي‌های امنیتی RCS زمانی بااستعداد‌نمناك می‌شوند که این پروتکل به مقصد‌ديباچه محب تآميز‌ی دوم تأیید هویت‌های دومرحله‌ای امنیتی نیز كاربرد شود. جلاجل چنین مواردی، هکر می‌تواند کدهای یک‌بارمصرف را بدزدد و به مقصد شمار‌های کاربری بااستعداد‌نمناك و آلرژي زا‌نمناك مثل ایمیل دسترسی پیدا کند.

رسانه‌ی وایرد تعدادی بررسی عمیق‌نمناك فهمید، توسط گوگل و رديف نظامي تکنیک اپراتورهای تلفن GSM Affiliation مراوده گرفت برخودهموار كردن جزئیات ادعاها را بررسی کند. گوگل جلاجل جواب به مقصد تهدیدهای امنیتی می‌گوید بینهایت كره زمين مشکلات مذکور را شناسایی کرده باریک. پوشيدگي آن‌ها به مقصد این فهمید اشاعت نکرده‌بضع که کدام مشکلات شناسایی شده‌بضع. بیانیه‌ی گوگل درادامه می‌گوید:

ما جلاجل همدستی نزدیک توسط فعالان اکوسیستم، تعدادی گدازش مشکلات باقی‌مابقي توسط شرکای كلاه خود همدستی می‌کنیم و به مقصد آن‌ها شيخ ها می‌دهیم.

GSMA می‌گوید كره زمين تمامی مشکلات مطرح‌شده‌ی SRLabs داده ها دارد و ابزارهای اقدام درعوض و کاهش تهدید را تعدادی اپراتورها ارائه می‌کند. اپراتورها توسط پیاده‌سازی ابزارها می‌توانند آسیب‌پذیری‌های RCS را کاهش دهند. پوشيدگي نول ادعا می‌کند ابزارهای اقدام درعوض تاکنون تعدادی هیچ‌یک كره زمين تهدیدهای امنیتی معرفی‌شده‌ی SRLabs پیاده‌سازی نشده‌بضع.

رديف نظامي تکنیک GSMA جلاجل جواب به مقصد درستكاري‌های SRLabs می‌گوید آن‌ها به مقصد مشکلات پیاده‌سازی RSC اشاعت کرده‌بضع و كلاه خود استاندارد مشکل خاصی ندارد:

یافته‌های امنیتی به مقصد مشکلاتی اشاعت می‌کنند که مهجور جلاجل چندی پیاده‌سازی‌ها دیده انجام خواهد شد. درواقع، نمی‌توان گفت همه‌ی پیاده‌سازی‌ها یا کل ساختارگرايي RCS تيرخور تهدیدهای امنیتی هستند.

نول جلاجل جواب به مقصد GSMA می‌گوید آسیب‌پذیری‌های مختلف جلاجل پیاده‌سازی استاندارد، به مقصد‌نوعی مشکل كلاه خود استاندارد محسوب می‌شوند. او درزمينه‌ی استاندارد RCS می‌گوید:

ارچه فناوری‌ای را تعدادی میلیاردها نفر ارائه کنید، باید همه‌ی جنبه‌های امنیتی آن بررسی شود. RCS به مقصد‌جای چنین رویکردی، بینهایت كره زمين مفاهیم را تعریف‌نشده باقی می‌گذارد. به مقصد‌علاوه، شرکت‌های مخابراتی نیز جلاجل پیاده‌سازی استاندارد اشتباهات متعددی مرتکب می‌شوند. این تکنولوژی هم‌اکنون نیز به مقصد میلیاردها کاربر ارائه انجام خواهد شد و متأسفانه آن‌ها را درمعرض تهدیدهایی آرامش طلب می‌دهد که قبلا صور نداشت.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *