RCS-protocol onveilig: hackers kunnen op afstand toegang verkrijgen

Jeffrey van de Velde
Jeffrey van de Velde
30 november 2019, 10:30
2 min leestijd
RCS-protocol onveilig: hackers kunnen op afstand toegang verkrijgen

Lees verder na de advertentie.

RCS-berichten

RCS, ofwel Rich Communication Services, moet de toekomst van digitale communicatie vormgeven. Dat er weinig partijen geïnteresseerd zijn in de opkomst van RCS, een concurrent van SMS- en MSS-diensten, is wel duidelijk geworden: er zijn maar weinig providers die de dienst ondersteunen. In Nederland, zal je voorlopig nog moeten wachten op de dienst. Voor alle Belgische lezers, die aangesloten zijn bij Orange, is het verhaal iets rooskleuriger. Orange is namelijk een van de providers, die is gestart met het ondersteunen van RCS-diensten. Uit beveiligingsoogpunt blijkt de dienst, een stuk minder interessant.

Schematische weergave van de kwetsbaarheden in het RCS-protocol

Onderzoek van het Duitse SRLabs, wijst immers op een aantal kwetsbaarheden in het protocol. Het is eerder bekend geraakt dat RCS niet gebruikmaakt van end-to-end encryptie. Berichten via RCS worden onbeveiligd verstuurd over de servers van Google (of je provider – in het geval van Orange). Hackers kunnen daar gretig gebruik van maken, zo schrijft SRLabs. Ten eerste is het voor de hackers mogelijk om te zien of een gebruiker online is. Vervolgens kunnen ze de gebruiker impersonaliseren: oftewel, ze kunnen het telefoonnummer van het slachtoffer gebruiken, om zelf berichten te sturen.

Verificatiemethode

Problemen met het protocol hebben te maken met de verificatiemethode. Chat-apps zoals Google Berichten blijken onvoldoende te controleren of alle details kloppen, alvorens een verbinding te leggen met gebruikers. Dat geeft hackers de ruimte om de communicatie te onderscheppen en zo het nummer van het slachtoffer te misbruiken. In het uiterste geval, kunnen hackers berichten ontvangen van het slachtoffer. Op die manier is het mogelijk, om SMS-verificaties van banken te onderscheppen of de sms-verificatieberichten van apps die middels SMS-berichten beveiligd worden.

Uitgebreide weergave van de ‘oplossingen’ voor het RCS-protocol

Gelukkig is dit niet het einde van het RCS-protocol, zo heeft SRLabs bevestigd in zijn onderzoek. Met de nodige aanpassingen, kan RCS een veilig protocol worden. Een van de mogelijkheden is het gebruiken van informatie van de simkaart, om de verificatie uit te voeren. Daarnaast zou RCS gebruik kunnen maken van veilige eenmalige wachtwoorden, om de verificatie uit te voeren. Zo wordt het in de praktijk moeilijker om de dienst te misbruiken. Het is onbekend of kwaadwillende eerder al eens misbruik hebben gemaakt van de kwetsbaarheden van het protocol, zo heeft SRLabs aangegeven.

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!