RCS-Implementationen könnten gefährlich werden

von Simon Wegmüller

2. Dezember 2019 - Sicherheitsforscher haben eine Reihe von Schwachstellen dabei gefunden, wie Carrier RCS implementieren. Dabei handelt es sich um den neuen Messaging-Standard, der als Ersatz für SMS entwickelt wurde und auch in der Schweiz gerade implementiert wird.

Die Ablösung der antiquierten Technologie SMS durch RCS, oder Rich Communication Services, macht Benutzer anfällig für textbasierte Angriffe, das Abfangen von Anrufen, die Standortverfolgung und mehr, so Sicherheitsforscher von SRLabs.

Der RCS-Standard (Rich Communication Services) ist ein Ersatz für SMS, der Funktionen wie Lesebestätigungen, die Möglichkeit zum Versenden von Medien und noch weitere Vorteile mit sich bringt.

Der neue SMS-Standard ist zwar nicht von Natur aus fehlerhaft, so die Forscher von SRLabs, sie stellen aber klar, dass Carrier ihre Benutzer einer Reihe von Sicherheitsbedrohungen aussetzen, da sie RCS in grossem Massstab implementieren. Da es keinen einheitlichen Standard gäbe, könnten grosse Telekommunikationsunternehmen diesen unterschiedlich einsetzen und dabei Fehler machen.

Für die Recherche untersuchte das SRLabs-Team Muster-SIM-Karten verschiedener Carrier und suchte nach RCS-bezogenen Domains. Ausserdem versuchte das Team, Sicherheitsmängel zu finden. Die Forscher entdeckten Probleme damit, wie Telekommunikationsunternehmen die RCS-Konfigurationsdateien an Geräte senden.

Die Forscher fanden etwa heraus, dass die Sicherheit im Authentifizierungsprozess versagt. So sendet beispielsweise ein Telekommunikationsanbieter einen eindeutigen Authentifizierungscode, um die Identifizierung des RCS-Benutzers zu überprüfen. Da der Anbieter eine "unbegrenzte Anzahl von Versuchen" erlaubt, könnten Angreifer die Authentifizierung mit unbegrenzten Versuchen zumindest in der Theorie umgehen.

SRLabs teilte derweil nicht mit, welche Sicherheitslücken bei welchen Carriern gefunden wurden, stellte aber fest, dass der Standard von mindestens 100 Carriern (darunter zumindest auch Swisscom in der Schweiz) auf der ganzen Welt implementiert wird. "Wir finden, dass das eigentlich ein Rückschritt für viele Netzwerke ist (im Vergleich zu SMS)", sagte Karsten Nohl von SRLabs gegenüber "Motherboard". "All diese Fehler aus den 90ern werden neu erfunden, wieder eingeführt."

Copyright by Swiss IT Media 2019