RCS-berichten
RCS, ofwel Rich Communication Services, moet de toekomst van digitale communicatie vormgeven. Dat er weinig partijen geïnteresseerd zijn in de opkomst van RCS, een concurrent van SMS- en MSS-diensten, is wel duidelijk geworden: er zijn maar weinig providers die de dienst ondersteunen. In Nederland, zal je voorlopig nog moeten wachten op de dienst. Voor alle Belgische lezers, die aangesloten zijn bij Orange, is het verhaal iets rooskleuriger. Orange is namelijk een van de providers, die is gestart met het ondersteunen van RCS-diensten. Uit beveiligingsoogpunt blijkt de dienst, een stuk minder interessant.
Schematische weergave van de kwetsbaarheden in het RCS-protocol
Onderzoek van het Duitse SRLabs, wijst immers op een aantal kwetsbaarheden in het protocol. Het is eerder bekend geraakt dat RCS niet gebruikmaakt van end-to-end encryptie. Berichten via RCS worden onbeveiligd verstuurd over de servers van Google (of je provider – in het geval van Orange). Hackers kunnen daar gretig gebruik van maken, zo schrijft SRLabs. Ten eerste is het voor de hackers mogelijk om te zien of een gebruiker online is. Vervolgens kunnen ze de gebruiker impersonaliseren: oftewel, ze kunnen het telefoonnummer van het slachtoffer gebruiken, om zelf berichten te sturen.
Verificatiemethode
Problemen met het protocol hebben te maken met de verificatiemethode. Chat-apps zoals Google Berichten blijken onvoldoende te controleren of alle details kloppen, alvorens een verbinding te leggen met gebruikers. Dat geeft hackers de ruimte om de communicatie te onderscheppen en zo het nummer van het slachtoffer te misbruiken. In het uiterste geval, kunnen hackers berichten ontvangen van het slachtoffer. Op die manier is het mogelijk, om SMS-verificaties van banken te onderscheppen of de sms-verificatieberichten van apps die middels SMS-berichten beveiligd worden.
Uitgebreide weergave van de ‘oplossingen’ voor het RCS-protocol
Gelukkig is dit niet het einde van het RCS-protocol, zo heeft SRLabs bevestigd in zijn onderzoek. Met de nodige aanpassingen, kan RCS een veilig protocol worden. Een van de mogelijkheden is het gebruiken van informatie van de simkaart, om de verificatie uit te voeren. Daarnaast zou RCS gebruik kunnen maken van veilige eenmalige wachtwoorden, om de verificatie uit te voeren. Zo wordt het in de praktijk moeilijker om de dienst te misbruiken. Het is onbekend of kwaadwillende eerder al eens misbruik hebben gemaakt van de kwetsbaarheden van het protocol, zo heeft SRLabs aangegeven.
Reacties
Inloggen of registreren
om een reactie achter te laten
Dit was te verwachten, de ontwikkeling heeft nog wel even tijd nodig.