Эксперты нашли уязвимость в способах реализации стандарта RCS операторами связи

Исследователи из SRLabs, работающие в сфере информационной безопасности, сообщили о том, что им удалось выявить ряд уязвимостей в способах внедрения стандарта Rich Communication Services (RCS), которые используются операторами связи в разных странах мира.

Стандарт RCS представляет собой онлайн-протокол, который позволяет абонентам обмениваться текстовыми сообщениями, создавать групповые чаты, высылать фото и видео, а также совершать видеозвонки.

В отчёте говорится о том, что обнаруженные уязвимости могут использоваться для отслеживания местоположения пользовательского устройства, перехвата текстовых сообщений и голосовых вызовов. Одна из проблем, обнаруженная в реализации RCS неназванного оператора связи, может использоваться приложениями для удалённой загрузки файла конфигурации RCS на ваш смартфон, повышая таким образом привилегии программы в системе и открывая доступ к голосовым вызовам и текстовым сообщениям.

В другом случае проблема касалась шестизначного проверочного кода, который оператор связи отправлял для проверки личности пользователя. На ввод кода предоставлялось неограниченное количество попыток ввода, что может использоваться злоумышленниками для подбора верной комбинации.