Naar content
Trending apps
  • Inbox by Gmail

  • Maps: Navigatie en OV

  • WhatsApp Messenger

  • Messenger

  • Facebook

Trending games
  • Minecraft Earth

  • Dr. Mario World

  • Harry Potter: Wizards Unite

  • Breaking Bad: Criminal Elements

  • The Elder Scrolls: Blades

Trending smartphones
  • Moto G8 Plus

  • Microsoft Surface Duo

  • OnePlus 7T Pro

  • Nokia 7.2

  • Xiaomi Mi 9T Pro

Nieuwste tablets
  • Samsung Galaxy Tab S6

  • Samsung Galaxy Tab A 10.5

  • Samsung Galaxy Tab S4

  • Samsung Galaxy Tab S3 9.7

  • Asus Zenpad 3S 10

Wel of niet te vertrouwen?

RCS-protocol onveilig: hackers kunnen op afstand toegang verkrijgen

· 30 november 2019

Google is een van de aanjagers van RCS. Het ‘protocol’, moet concurreren met diensten zoals WhatsApp en Telegram: mede door de mogelijkheid om te zien of je bericht gelezen is. Leuk en aardig, maar uit onderzoek blijkt dat het protocol kwetsbaar is voor aanvallen door hackers.

RCS-berichten

RCS, ofwel Rich Communication Services, moet de toekomst van digitale communicatie vormgeven. Dat er weinig partijen geïnteresseerd zijn in de opkomst van RCS, een concurrent van SMS- en MSS-diensten, is wel duidelijk geworden: er zijn maar weinig providers die de dienst ondersteunen. In Nederland, zal je voorlopig nog moeten wachten op de dienst. Voor alle Belgische lezers, die aangesloten zijn bij Orange, is het verhaal iets rooskleuriger. Orange is namelijk een van de providers, die is gestart met het ondersteunen van RCS-diensten. Uit beveiligingsoogpunt blijkt de dienst, een stuk minder interessant.

RCS-protocol is kwetsbaar

Schematische weergave van de kwetsbaarheden in het RCS-protocol

Onderzoek van het Duitse SRLabs, wijst immers op een aantal kwetsbaarheden in het protocol. Het is eerder bekend geraakt dat RCS niet gebruikmaakt van end-to-end encryptie. Berichten via RCS worden onbeveiligd verstuurd over de servers van Google (of je provider – in het geval van Orange). Hackers kunnen daar gretig gebruik van maken, zo schrijft SRLabs. Ten eerste is het voor de hackers mogelijk om te zien of een gebruiker online is. Vervolgens kunnen ze de gebruiker impersonaliseren: oftewel, ze kunnen het telefoonnummer van het slachtoffer gebruiken, om zelf berichten te sturen.

Verificatiemethode

Problemen met het protocol hebben te maken met de verificatiemethode. Chat-apps zoals Google Berichten blijken onvoldoende te controleren of alle details kloppen, alvorens een verbinding te leggen met gebruikers. Dat geeft hackers de ruimte om de communicatie te onderscheppen en zo het nummer van het slachtoffer te misbruiken. In het uiterste geval, kunnen hackers berichten ontvangen van het slachtoffer. Op die manier is het mogelijk, om SMS-verificaties van banken te onderscheppen of de sms-verificatieberichten van apps die middels SMS-berichten beveiligd worden.

RCS-protocol is kwetsbaar

Uitgebreide weergave van de 'oplossingen' voor het RCS-protocol

Gelukkig is dit niet het einde van het RCS-protocol, zo heeft SRLabs bevestigd in zijn onderzoek. Met de nodige aanpassingen, kan RCS een veilig protocol worden. Een van de mogelijkheden is het gebruiken van informatie van de simkaart, om de verificatie uit te voeren. Daarnaast zou RCS gebruik kunnen maken van veilige eenmalige wachtwoorden, om de verificatie uit te voeren. Zo wordt het in de praktijk moeilijker om de dienst te misbruiken. Het is onbekend of kwaadwillende eerder al eens misbruik hebben gemaakt van de kwetsbaarheden van het protocol, zo heeft SRLabs aangegeven.

Spelfouten, taalfouten of inhoudelijke fouten ontdekt? Stuur dan een mailtje naar de auteur van dit artikel!

Reacties (1)
Bezig met laden van reacties...