Operadoras de diversas partes do mundo trabalham para implementar o RCS, o novo padrão de mensagens e sucessor do SMS. No entanto, pesquisadores de segurança da SRLabs descobriram uma série de vulnerabilidades na integração do sistema, que pode comprometer dados de localização do usuário e permitir que mensagens e chamadas sejam interceptadas e o número de telefone falsificado.
Em um dos casos, a falha pode ocorrer logo após a implementação de uma operadora sem nome, que possibilita qualquer aplicativo instalado no telefone baixar a configuração RCS e obter dados pessoais e conversas privadas. Já em outro, o código de seis dígitos usado para verificar a identidade do usuário fica vulnerável e também permite o acesso de terceiros. Ambos os problemas foram detectados após análises de amostras de cartões SIM de várias operadoras diferentes.
A SRLabs não compartilhou quais empresas possuem os erros identificados, mas divulgou que o padrão ocorre em ao menos 100, incluindo as quatro principais dos Estados Unidos no ramo. “Achamos que isso é realmente um passo atrás para muitas redes (em comparação com o SMS)”, afirmou Karsten Nohl, especialista em segurança da SRLabs. “Esses erros dos anos 90 estão sendo reinventados, reintroduzidos”.
A GSMA, órgão comercial que representa as operadoras de rede, destacou a importância da descoberta para a melhoria do serviço. “Somos gratos aos pesquisadores por permitirem à indústria a oportunidade de compartilhar suas descobertas. A GSMA agradece qualquer pesquisa que aprimore a segurança e a confiança do usuário dos serviços móveis”, afirmou um porta-voz.
RCS
O RCS é um novo padrão de mensagens projetado para substituir o SMS como um meio de enviar mensagens de texto. Ele suporta muitos dos apps usados pelas pessoas atualmente, como iMessage e WhatsApp, incluindo recibos de leitura e indicadores de digitação (embora não criptografe de ponta a ponta), em um padrão de plataforma cruzada com o qual diferentes empresas podem se integrar.
Apesar de suas vantagens em relação ao SMS, o novo padrão tem demorado para ser introduzido. Mesmo anunciado no ano passado, o Google decidiu utilizá-lo como a principal plataforma de mensagens de texto do Android Messages somente neste mês. A mudança da gigante de busca não afetará a Samsung, fabricante de aparelhos Android mais vendido nos EUA, pois a empresa oferece aos seus clientes um sistema de mensagens próprio.
A partir de 2020, companhias como AT&T, Verizon, T-Mobile e Sprint também oferecerão seus próprios serviços referentes a mensagens de texto, enquanto a Apple ainda não comunicou se apoiará ou não o RCS. O SRLabs apresentará suas descobertas detalhadamente na conferência Black Hat Europe, em dezembro, depois de mostrar alguns trabalhos na conferência DeepSec, que ocorrerá nesta sexta-feira.
Via: The Verge