کشف آسیب پذیری‌های متعدد در پلتفرم جایگزین SMS

محققین حوزه امنیت SRLabs تعدادی آسیب‌پذیری در پلتفرم RCS پیدا کرده‌اند که گریبان بیش از ۱۰۰ ارائه دهنده خدمات همراه را گرفته است. در بعضی از موارد، آسیب‌پذیری‌ها باعث می‌شوند موقعیت مکانی کاربر لو برود، تداخل در پیامک‌ها و تماس‌‌ها ایجاد شده و همچنین شماره تلفن کاربران جعل شود.

اگر از RCS اطلاع چندانی ندارید، باید بگوییم که جدیدترین تلاش گوگل برای ارائه یک پیام‌رسان جامع که به خوبی با iMessage رقابت کند، همین پلتفرم RCS نام دارد. از قابلیت‌های پلتفرم RCS می‌توان به رسید خواندن پیام‌ها، نشانگر در حال تایپ بودن مخاطب و پشتیبانی از پلتفرم‌های مختلف اشاره کرد. گوگل در ابتدا تلاش زیادی کرد تا RCS را فراگیر کند اما بعضی از سازندگان گوشی هوشمند مانند سامسونگ، علاقه‌ای به پشتیبانی از این پلتفرم نداشته و ترجیح می‌دهند که از پیام‌رسان‌های خود استفاده کنند.

پلتفرم RCS

با این حال لازم به ذکر است که این پلتفرم خود به تنهایی مشکلی ندارد، بلکه این ارائه دهندگان خدمات همراه هستند که با اعمال نادرست این قابلیت‌ها، باعث بروز مشکلات و ایجاد حفره‌های امنیتی می‌شوند. برای مثال، یکی از این آسیب‌پذیری‌ها به برنامه دیگری اجازه دسترسی به نام کاربری و رمز عبور تایید هویت کاربر را می‌دهد. یا این برنامه می‌تواند رمز ۶ رقمی تایید هویت کاربر برای شرکت ارائه‌دهنده خدمات همراه را به دست بیاورد.

با این حال SRLabs عنوان نکرده است که کدام آسیب‌پذیری و حفره امنیتی مربوط به کدام ارائه دهنده خدمات همراه می‌شود. اما تاکید کرده که این پلتفرم توسط ۱۰۰ ارائه دهنده خدمات همراه در کشور‌های مختلفی در حال پیاده‌سازی و اجراست. یکی از سخنگویان این شرکت می‌گوید:

چیزی که ما پیدا کرده‌ایم، قدمی رو به عقب برای این شرکت‌ها به حساب می‌آید. تمام این مشکلات مربوط به دهه ۹۰ میلادی می‌شود که دوباره در حال معرفی شدن به کاربر هستند.

پلتفرم RCS

همچنین یکی از سخنگویان سازمان GSMA در این رابطه گفته است که یافته‌های شرکت SRLabs طی هفته آینده در اختیار این سازمان قرار می‌گیرد. او همچنین تاکید کرده که شرکت SRLabs از وجود راه‌هایی برای مقابله با این حفره‌های امنیتی وجود دارد و قرار است این راه‌ها به سازمان ارائه شوند. همچنین سازمان GSMA از هرگونه اقدامی که به منظور بهبود امنیت کاربران صورت گیرد، استقبال خواهد کرد.

قرار است که SRLabs یافته‌های خود را در کنفرانس اروپایی Black Hat ارائه کرده و پس از آن، کارهای انجام شده در رابطه با پلتفرم RCS را نیز در کنفرانس DeepSec به عموم نشان دهد.

نظرات ۵

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟