未來替代簡訊的RCS：爆可截獲文字和電話被，欺騙或隨意更改(附視訊)

此前我們曾報導過：融合通訊-Rich Communication Services

簡訊終結者，美國四大運營商最終計劃用新RCS訊息取代SMS

從簡訊到視訊通話的智慧手機功能的未來是一種稱為Rich Communication Services的協議。全球電話運營商未來都將RCS視為SMS簡訊的後繼產品，它還可以處理電話和視訊通話。上個月，谷歌宣佈將開始在所有美國Android手機中將RCS推廣到其Messages應用程式。很容易想象不久的將來，RCS將成為十億或更多人的預設選擇。但是，當安全研究人員深入研究時，他們發現運營商和Google實施該協議的方式產生了一系列令人擔憂的漏洞。

在週二於倫敦舉行的黑帽安全會議上，德國安全諮詢公司SRLabs展示了一系列問題，這些問題涉及電話運營商和Google在現代Android手機中如何實施RCS。研究人員說，這些實施缺陷可能允許文字和電話被截獲，欺騙或隨意更改，在某些情況下，是黑客僅坐在同一Wi-Fi網路上，並使用相對簡單的技巧。SRLabs先前在上週於維也納舉行的DeepSec安全會議上描述了這些漏洞，並且在Black Hat上還顯示了這些RCS劫持攻擊如何在以下視訊中起作用：

https://www.youtube.com/watch?v=jqCOqppYUcI

(各位自行釋放魔法觀看)

SRLabs創始人卡爾斯滕·諾爾（Karsten Nohl）是研究電話系統中安全漏洞的記錄者，他認為RCS在許多方面都不比SS7更好，SS7仍然是用於通話和發簡訊的數十年曆史的電話系統運營商，眾所周知是很容易被截獲和欺騙攻擊。儘管使用諸如iMessage和WhatsApp之類的端到端加密的基於Internet的工具消除了許多SS7問題，但Nohl說，RCS的有缺陷實施使其比它希望替代的SMS系統安全得多。

Nohl說：“由於您的網路決定啟用RCS，您將更容易受到黑客的攻擊。” “ RCS使我們能夠閱讀您的簡訊並收聽您的呼叫。這是SS7所具備的功能，但是SS7是80年代的協議。現在，其中一些問題已在現代協議中重新引入，並且在Google的支援下。”

RCS的推出還有一段路要走，即使有Google的支援，RCS仍將是一個拼湊而成的專案。一些Android製造商使用專有的訊息傳遞應用程式作為預設訊息，而不是股票的Messages應用程式，並且大多數運營商也推銷自己的版本。iPhone根本不支援它，Apple也沒有提供任何支援的跡象。但是隨著RCS的廣泛推廣，它的安全性問題值得關注-尤其是因為那些實現首先產生了這些問題。

“如果為十億人口推出一種新技術，

則應該定義整個安全概念。”

KARSTEN NOHL，SRLABS

SRLabs的視訊演示了利用RCS問題的各種技術的抓包，所有這些問題都是由Google或電話運營商之一的錯誤實施引起的。例如，上面的視訊顯示，一旦電話使用其唯一的憑據向運營商的RCS伺服器進行了身份驗證，伺服器將使用電話的IP地址和電話號碼作為一種識別符號。這意味著知道受害者的電話號碼並且在同一個Wi-Fi網路上的攻擊者（從同一公司辦公室的同事到星巴克附近桌子上的某人的任何人）都可以使用該號碼和IP地址來模擬他們。

研究人員使用另一種技術，展示了使用RCS的Android手機如何容易受到中間人攻擊。無論是控制惡意Wi-Fi網路的黑客還是ISP或可以訪問ISP伺服器的國家間諜，攻擊者都可以更改域名系統請求，電話將其用於查詢充當RCS伺服器之間中繼的伺服器郵件的發件人和收件人。SRLabs發現，雖然Android的啟用RCS的訊息傳遞應用程式檢查電話所連線的伺服器是否具有有效的TLS證書（就像您的瀏覽器檢查HTTPS網站的有效性一樣），但它將接受任何有效的證書，即使攻擊者的伺服器。

這就像一個安全警衛，他只檢查某人的ID是否與他們的臉相匹配，而不是首先檢查其姓名是否在批准的列表中。“這是一個非常愚蠢的錯誤，”諾爾補充說。

結果是中間人可以隨意攔截和更改訊息，如以下視訊所示：

https://www.youtube.com/watch?v=OMVARiaCoxk

(各位自行釋放魔法觀看)

另一種攻擊利用了RCS裝置初始設定中的缺陷。首次在RCS系統中註冊電話時，它將下載包含裝置憑據的配置檔案。但是要向伺服器標識自己並下載該配置檔案，裝置僅需要具有運營商認為與該裝置的電話號碼相關聯的IP地址。Nohl指出，但是，任何在手機上終止的惡意應用程式-即使沒有Android中的特殊應用程式許可權-都可以從同一IP地址延伸，竊取裝置的唯一RCS憑據，並開始模擬它，如下面的視訊。Nohl指出，即使從未在電話上啟用RCS的使用者也可以使用該配置檔案攻擊。

https://www.youtube.com/watch?v=30lA-9hBWwA

(各位自行釋放魔法觀看)

在某些情況下，運營商試圖通過向使用者裝置傳送他們必須輸入的一次性程式碼來防範這種攻擊。但是SRLabs發現，一些運營商未能限制猜測該程式碼的嘗試次數。黑客可以在五分鐘內嘗試所有可能的號碼。“在五分鐘內，我們將獲得您的配置檔案，直到我們能聽到您所有的電話並閱讀所有文字後，我們才能永久儲存下來，”諾爾說。

當將RCS訊息傳遞用作雙因素身份驗證的第二因素時，所有這些攻擊都變得更加嚴重。在這種情況下，RCS攔截可能使黑客竊取一次性程式碼並獲得對其他更敏感帳戶（如電子郵件）的訪問許可權，如以下視訊所示：

https://www.youtube.com/watch?v=nzGAdMH1Fxk

(各位自行釋放魔法觀看)

當WIRED與GSM協會電話運營商行業小組和Google取得聯絡時，該公司在回應中表示感謝研究人員，但認為“其中許多問題已經解決”（拒絕透露是哪個問題），並且作為我們與生態系統的密切合作，在合作伙伴解決剩餘問題時會積極向他們提供建議。” GSMA聲稱已經知道SRLabs突出顯示的問題，並且運營商可以使用“對策和緩解措施”來修復其RCS缺陷。Nohl指出，針對Blackhat上出現的SRLabs的任何問題，尚未實施這些修復。

GSMA進一步認為，SRLabs指出了RCS標準實施的問題，而不是標準本身。GSMA宣告說：“研究結果突出了某些RCS實施的問題，但並非所有部署或RCS規範本身都會受到影響。”

諾爾認為，然而，在標準的實施導致許多缺陷的存在是事實上的標準有問題。Nohl說：“如果要為十億人口推出一項新技術，就應該定義整個安全概念。相反，RCS留下了很多未定義的內容，並且電信公司在嘗試實施此標準時會犯很多個人錯誤。” “這項技術已經悄悄地引入了十億多人口。這使他們面臨著以前不必擔心的威脅。”

關注微信公眾號：紅數位 閱讀更多

混跡安全圈，每日必看！