RCS (Rich Communications Services) er navnet på det som er ment å bli arvtakeren til SMS-teknologien, med Google som hoved-initiativtaker. Nå viser det seg at løsningen har til dels alvorlige sikkerhetshull, melder nettstedet Motherboard.
Sikkerhetsforskere hos Security Research Labs (SRLabs) rapporterer at implementering av RCS kan legge til rette for at hackere kan avlytte og manipulere kommunikasjon, ta over brukerkontoer, begå identitetssvindel og spore brukere.
Gjeninnfører feil fra 1990-tallet
Slik skal Google få fart på bruken av SMS-arvtakeren RCS
SRLabs fant blant annet at den mest utbredte RCS-klienten, Android Messages, ikke implementerer tilstrekkelig domene- og sertifikatverifisering, og at noen RCS-kjernenoder ikke har på plass et effektivt system for verifisering av brukeridentitet.
Sikkerhetsselskapet skal ikke ha funnet problemer med selve RCS-standarden i seg selv, men derimot med måten teknologien implementeres på av de ulike teleselskapene.
Deler av standarden er ennå ikke definert, som innebærer at selskapene til dels kan implementere standarden på sin egen måte – noe som igjen åpner for feil.
Ifølge SRLabs tilsvarer funnene mange av de problemene den eksisterende SMS-standarden også slet med da den først ble introdusert.
– Alle ser ut til å gjøre feil akkurat nå, men på ulike måter. [...] Alle disse feilene fra 90-tallet er nå i ferd med å bli gjenoppfunnet og reintrodusert. Den rulles nå ut for over en milliard mennesker som alle rammes av dette, sa sikkerhetsforsker hos SRLabs Karsten Nohl til Motherboard.
Introdusert i Norge
Telenor skrudde faktisk av RCS-støtten i fjor. Planlegger relansering
Noen av funnene skal presenteres i større detalj under hackerkonferansen Black Hat Europe 2019, som varer fra 2. til 5. desember i år.
RCS-implementering er ifølge SRLabs nå i gang i 67 land. I Norge var Telenor blant de første mobiloperatørene i verden som ble med på Googles initiativ om å ta i bruk RCS-teknologien, og selskapet var i 2017 først ute med å lansere en RCS-basert tjeneste i Norge – kalt SMS+.
Som vi meldte i juni i år skrudde Telenor imidlertid av RCS-støtten i fjor, trolig fordi den ikke fungerte helt som ønsker.
Digi.no har kontaktet Telenor med spørsmål om hvordan selskapet forholder seg til de nye funnene til SRLabs, og vil oppdatere artikkelen når svaret foreligger.
RCS-initiativet startet formelt i 2016 som et samarbeid mellom en rekke store mobiloperatører, Google og GSM Association. Idéen er samkjøring av operatørene rundt en universell profil basert på GSMAs RCS-spesifikasjon og en RCS-klient for Android som Google utvikler i samarbeid med operatører og enhetsleverandører.
Les også: Lanserte neste generasjon SMS. Hevder løsningen vil snu om på nordmenns forhold til tekstmeldinger »
