Schwere Sicherheitslücken bei Umsetzung des SMS-Nachfolgers RCS (29. November 2019/14:42) Angreifer könnten Nachrichten mitlesen und Aufenthaltsort von Nutzern ausspionieren - Provider patzen an vielen Stellen Sicherheitsforscher haben zahlreiche Fehler in den RCS-Implementierungen mehrere Netzanbieter gefunden. Es sei überraschend, dass selbst große Anbieter wie Vodafone eine neue Technologie einführen, mit der sie ungefragt hunderte Millionen Kunden neuen Risiken aussetzen, findet Karsten Nohl von SR Labs gegenüber "Motherboard" deutliche Worte. So könnten Angreifer theoretisch nicht nur Nachrichten mitlesen, es ist auch möglich den Standort von einzelnen Nutzern zu bestimmen und Anrufe abzufangen. Die Probleme liegen dabei nicht im Standard selbst sondern in der Art, wie die Mobilfunker ihn implementieren. Interessant sei dabei, dass praktisch jeder Anbieter hier Fehler mache - aber jeder etwas andere, betont Nohl. Einen Angriffspunkt bilden dabei etwa die Konfigurationsdateien, die die Provider an die einzelnen Smartphones verschicken. Einer der Anbieter hat sich etwa dazu entschlossen, die einzelnen Geräte kurzerhand mithilfe ihrer IP-Adresse zu identifizieren. Dies führt dazu, dass jede App auf dem gleichen Smartphone ebenfalls die Konfigurationsdateien abfragen kann, und so leicht an Username und Passwort kommen kann. Infolge ist es ein leichtes Nachrichten mitzulesen - etwas das RCS eigentlich verhindern soll. Noch leichter geht zum Teil die Standortspionage, diese klappt bei einigen Anbietern nämlich selbst dann, wenn man das Passwort gar nicht kennt. Und generell gebe es Anbieter, die zum Schutz der Übertragung viel zu kurze - und somit unsichere - Passwörter verwende. "All die Fehler der 90er-Jahre werden gerade neu erfunden", formuliert es Nohl. SIM-Karten in Deutschland, Österreich und der Schweiz sollen jedoch nicht betroffen sein
|
https://ress.at/schwere-sicherheitsluecken-bei-umsetzung-des-smsnachfolgers-rcs-news29112019144233.html
© by RessServerWorks, 2024