此前我们曾报道过：融合通信-Rich Communication Services

从短信到视频通话的智能手机功能的未来是一种称为Rich Communication Services的协议。全球电话运营商未来都将RCS视为SMS短信的后继产品，它还可以处理电话和视频通话。上个月，谷歌宣布将开始在所有美国Android手机中将RCS推广到其Messages应用程序。很容易想象不久的将来，RCS将成为十亿或更多人的默认选择。但是，当安全研究人员深入研究时，他们发现运营商和Google实施该协议的方式产生了一系列令人担忧的漏洞。

在周二于伦敦举行的黑帽安全会议上，德国安全咨询公司SRLabs展示了一系列问题，这些问题涉及电话运营商和Google在现代Android手机中如何实施RCS。研究人员说，这些实施缺陷可能允许文本和电话被截获，欺骗或随意更改，在某些情况下，是黑客仅坐在同一Wi-Fi网络上，并使用相对简单的技巧。SRLabs先前在上周于维也纳举行的DeepSec安全会议上描述了这些漏洞，并且在Black Hat上还显示了这些RCS劫持攻击如何在以下视频中起作用：

https://www.youtube.com/watch?v=jqCOqppYUcI

(各位自行释放魔法观看)

SRLabs创始人卡尔斯滕·诺尔（Karsten Nohl）是研究电话系统中安全漏洞的记录者，他认为RCS在许多方面都不比SS7更好，SS7仍然是用于通话和发短信的数十年历史的电话系统运营商，众所周知是很容易被截获和欺骗攻击。尽管使用诸如iMessage和WhatsApp之类的端到端加密的基于Internet的工具消除了许多SS7问题，但Nohl说，RCS的有缺陷实施使其比它希望替代的SMS系统安全得多。

Nohl说：“由于您的网络决定激活RCS，您将更容易受到黑客的攻击。” “ RCS使我们能够阅读您的短信并收听您的呼叫。这是SS7所具备的功能，但是SS7是80年代的协议。现在，其中一些问题已在现代协议中重新引入，并且在Google的支持下。”

RCS的推出还有一段路要走，即使有Google的支持，RCS仍将是一个拼凑而成的项目。一些Android制造商使用专有的消息传递应用程序作为默认消息，而不是股票的Messages应用程序，并且大多数运营商也推销自己的版本。iPhone根本不支持它，Apple也没有提供任何支持的迹象。但是随着RCS的广泛推广，它的安全性问题值得关注-尤其是因为那些实现首先产生了这些问题。

“如果为十亿人口推出一种新技术，

则应该定义整个安全概念。”

KARSTEN NOHL，SRLABS

SRLabs的视频演示了利用RCS问题的各种技术的抓包，所有这些问题都是由Google或电话运营商之一的错误实施引起的。例如，上面的视频显示，一旦电话使用其唯一的凭据向运营商的RCS服务器进行了身份验证，服务器将使用电话的IP地址和电话号码作为一种标识符。这意味着知道受害者的电话号码并且在同一个Wi-Fi网络上的攻击者（从同一公司办公室的同事到星巴克附近桌子上的某人的任何人）都可以使用该号码和IP地址来模拟他们。

研究人员使用另一种技术，展示了使用RCS的Android手机如何容易受到中间人攻击。无论是控制恶意Wi-Fi网络的黑客还是ISP或可以访问ISP服务器的国家间谍，攻击者都可以更改域名系统请求，电话将其用于查找充当RCS服务器之间中继的服务器邮件的发件人和收件人。SRLabs发现，虽然Android的启用RCS的消息传递应用程序检查电话所连接的服务器是否具有有效的TLS证书（就像您的浏览器检查HTTPS网站的有效性一样），但它将接受任何有效的证书，即使攻击者的服务器。

这就像一个安全警卫，他只检查某人的ID是否与他们的脸相匹配，而不是首先检查其姓名是否在批准的列表中。“这是一个非常愚蠢的错误，”诺尔补充说。

结果是中间人可以随意拦截和更改消息，如以下视频所示：

https://www.youtube.com/watch?v=OMVARiaCoxk

(各位自行释放魔法观看)

另一种攻击利用了RCS设备初始设置中的缺陷。首次在RCS系统中注册电话时，它将下载包含设备凭据的配置文件。但是要向服务器标识自己并下载该配置文件，设备仅需要具有运营商认为与该设备的电话号码相关联的IP地址。Nohl指出，但是，任何在手机上终止的恶意应用程序-即使没有Android中的特殊应用程序权限-都可以从同一IP地址延伸，窃取设备的唯一RCS凭据，并开始模拟它，如下面的视频。Nohl指出，即使从未在电话上启用RCS的用户也可以使用该配置文件攻击。

https://www.youtube.com/watch?v=30lA-9hBWwA

(各位自行释放魔法观看)

在某些情况下，运营商试图通过向用户设备发送他们必须输入的一次性代码来防范这种攻击。但是SRLabs发现，一些运营商未能限制猜测该代码的尝试次数。黑客可以在五分钟内尝试所有可能的号码。“在五分钟内，我们将获得您的配置文件，直到我们能听到您所有的电话并阅读所有文本后，我们才能永久保存下来，”诺尔说。

当将RCS消息传递用作双因素身份验证的第二因素时，所有这些攻击都变得更加严重。在这种情况下，RCS拦截可能使黑客窃取一次性代码并获得对其他更敏感帐户（如电子邮件）的访问权限，如以下视频所示：

https://www.youtube.com/watch?v=nzGAdMH1Fxk

(各位自行释放魔法观看)

当WIRED与GSM协会电话运营商行业小组和Google取得联系时，该公司在回应中表示感谢研究人员，但认为“其中许多问题已经解决”（拒绝透露是哪个问题），并且作为我们与生态系统的密切合作，在合作伙伴解决剩余问题时会积极向他们提供建议。” GSMA声称已经知道SRLabs突出显示的问题，并且运营商可以使用“对策和缓解措施”来修复其RCS缺陷。Nohl指出，针对Blackhat上出现的SRLabs的任何问题，尚未实施这些修复。

GSMA进一步认为，SRLabs指出了RCS标准实施的问题，而不是标准本身。GSMA声明说：“研究结果突出了某些RCS实施的问题，但并非所有部署或RCS规范本身都会受到影响。”

诺尔认为，然而，在标准的实施导致许多缺陷的存在是事实上的标准有问题。Nohl说：“如果要为十亿人口推出一项新技术，就应该定义整个安全概念。相反，RCS留下了很多未定义的内容，并且电信公司在尝试实施此标准时会犯很多个人错误。” “这项技术已经悄悄地引入了十亿多人口。这使他们面临着以前不必担心的威胁。”

关注微信公众号：红数位 阅读更多

混迹安全圈，每日必看！