科技

当前位置/ 首页/ 新闻频道科技 正文

RCS漏洞可以帮助黑客控制您的银行帐户

丰富的通信服务(RCS)是无线消息传递的下一代。与使用无线运营商的蜂窝连接的SMS / Text不同,RCS通过运营商的数据网络运行。这样可以在可能的情况下通过Wi-Fi发送消息。这还将使每条消息允许的字符数从文本的160个上限增加到8,000个。另外,RCS发出“已读回执”,以便用户知道收件人何时阅读了他们的邮件。当有人键入对RCS调度的响应时,一个三点指示器将使用户知道正在编写传入消息。最多可以与100位参与者进行群组消息,并且可以共享包含图像和视频的较大文件。

美国无线运营商对该平台有很大的计划。美国四大运营商均已成立了跨运营商消息传递计划(CCMI),并计划明年向其Android客户提供基于RCS的消息传递应用程序。无线运营商正计划通过允许用户购买机票,访问他们喜欢的品牌甚至购买产品而无需离开消息传递应用程序,从而通过RCS货币化。同时,就像今年早些时候在英国和法国通过发布RCS消息传递应用程序终止运营商的做法一样,Google最近开始在美国所有Android手机上推出RCS Chat。接收它的人必须选择Android Messages应用程序集作为其默认消息传递平台。

黑客利用RCS上发现的漏洞可以窃取一次密码并更改用户的在线帐户

但是,德国(SRLabs)发现,RCS似乎有阴暗面。这家安全公司表示,为RCS准备好Android手机的过程使该平台具有广泛的开放空间,可被黑客入侵,并且对用户的保护很少。攻击者可以接管用户帐户,并且目前使用最广泛的RCS客户端(上述的Android Messages应用程序)对域,证书和用户身份的验证不足。结果,黑客可以欺骗域名,甚至允许呼叫者ID欺骗和欺诈。

黑客可以通过RCS漏洞进行的某些攻击

SRLabs发现,通过RCS,黑客可以跟踪用户并验证他们是否在线。通过欺骗呼叫者ID,黑客可以假装是其他人。该平台中的漏洞可能允许不良演员劫持SMS发送的一次性密码;这可以允许未经授权的银行交易获得批准,或帮助将帐户控制权转移给黑客。该报告指出:“根本问题是,RCS客户端(包括官方的Android消息传递应用程序)未正确验证服务器身份是否与配置阶段网络提供的身份匹配。这一事实可通过DNS欺骗加以滥用,使黑客能够位于移动和RCS网络核心之间的加密连接中间。”

通过使用这些最佳实践,可以缓解RCS攻击

SRLabs说,漏洞可以纠正。一些建议包括使用“强”一次密码,以及使用来自用户SIM卡的信息来验证用户身份。所使用的RCS客户端(例如,Android Messages应用程序)应仅连接到受信任的域并验证证书。

如果RCS要发挥其潜能,则需要修补这些漏洞。如果运营商计划将其货币化,那就尤其如此。消费者将要使用他们可以信任的消息应用程序,目前尚不清楚RCS是否可以完全信任。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。