Заміна SMS для Android від Google виявилася небезпечною

Думаю, кожен користувач, навіть не занурений в тематику Android, знає, що головною проблемою операційної системи Google є фрагментація. Практика показує, що мало хто по-справжньому розуміє, що саме вона з себе представляє, але потеревенити про фрагментацію своїм обов’язком вважають дуже багато. Як правило, фрагментацією вважають широке поширення різних версій Android, якими з’явилися через неписьменної політики Google щодо оновлення ОС. Однак в більш широкому сенсі цей термін позначає велику кількість реалізацій чого-небудь. Тому співіснування різних верств, прошивок і кастомних збірок Android – це теж фрагментація, яка, однак, поширюється не тільки на операційну систему.

В цьому році Google приступила до випробувань технології RCS (Rich communication service). По суті, вона повинна була стати просунутою заміною звичним СМС завдяки відсутності обмежень на кількість символів, підтримці медіавкладень, а також можливості в реальному часі відстежувати факти прочитання і набору відповідного послання. Ну, і найголовніше перевага RCS – це, звичайно, безкоштовність даного стандарту. Але, як виявилося, є у нього і критичні недоліки, які роблять цей спосіб обміну повідомленнями одним з найменш безпечних.

Що не так з RCS

Основна проблема RCS полягає в тому, що кожен оператор, які фактично забезпечують передачу повідомлень, змінюють реалізація стандарту так, як вважатимуть за потрібне. Через це, по-перше, абоненти різних операторів не можуть обмінюватися RCS-посланнями між собою, а, по-друге, по суті, добровільно позбавляють себе приватності. Справа в тому, що велика кількість реалізацій призводить до збільшення числа багів і всіляких вразливостей. Наприклад, у одного оператора, чия назва не розкривається, будь-який додаток може отримати доступ до вкладень з повідомлень, отриманих через RCS, а в іншого – проводити виїмку імен та номерів телефонів, не маючи на це відповідного дозволу.

Здавалося б, все-то і потрібно, щоб впровадити загальний стандарт і вирішити всі проблеми безпеки. Однак на практиці все виявилося не так райдужно. Експерти SRLabs з’ясували, що ключі безпеки RCS настільки короткі, що в поєднанні з IP-адресою відправника або одержувача послання, дозволяють розшифрувати його зміст. В результаті зловмисники, які займаються розшифровкою, отримують можливість або змінити повідомлення, або внести в нього будь-які зміни ще до того, як воно дійде до одержувача.

RCS – не про безпеку

Мені б не хотілося робити передчасних висновків, але практика показує, що з безпекою фірмових розробок у Google справи йдуть відверто так собі. Що Android, що Chrome, що RCS – всі вони містять навіть не уразливості, а особливості реалізації, які ставлять під сумнів їх надійність і орієнтацію на захист інтересів користувача. Адже якщо продукт або сервіс не здатні забезпечити безпеку використання, ті користувачі, для яких це важливо – а таких досить багато – швидше за все виберуть продукт конкурентів. Тим більше що на ринку є як мінімум одна компанія з аналогічним набором додатків і служб.

Джерело: androidinsider.ru