Correva l’anno 2015 quando Google dichiarava che avrebbe iniziato ad adottare il nuovo standard RCS anche per Android, cosa che talaltro l’aveva portata anche ad acquisire la compagnia Jibe Mobile per aiutarla nella transizione dal vecchio al nuovo standard. Per chi non lo sapesse, i servizi RCS vanno a prendere il posto dei vecchi SMS. Fondamentalmente è come se fosse la versione 2.0 dello standard precedente, che adesso permette agli utenti di scambiare foto, creare chat di gruppotrasferire file e molto altro. È come se fosse una sorta di applicazione di instant messaging ma legata allo scambio di messaggi.

In queste ore sta facendo abbastanza discutere una nuova ricerca portata avanti da SRLabs, importante azienda impegnata nella sicurezza informatica, che ha scoperto importanti falle sui servizi RCS. Infatti, come dichiara Karsten Nohl, noto esperto di crittografia e hacker, per com’è strutturato adesso una parte del protocollo di gestione di RCS, è teoricamente possibile intercettare chiamate e messaggi scambiati attraverso il nuovo servizio.

Ma c’è di più: secondo Nohl è davvero uno scandalo che importanti Telco come Vodafone, AT&T, Verizon, Sprint e tante altre, abbiano abbracciato i servizi RCS senza consenso dei propri utenti evidentemente esponendoli a problemi di sicurezza così rilevanti. I ricercatori Luca Melette Sina Yazdanmehr esporranno tutte le loro scoperte durante la conferenza Black Hat Europe questo dicembre, mostrando tutti i limiti scoperti finora.

Essendo lo standard relativamente nuovo, è probabile che i vari carrier telefonici gestiscano il protocollo utilizzando pratiche non a prova di bomba. Ad esempio è possibile utilizzare un attacco brute force per scoprire il codice di 6 cifre che gli utenti su RCS ricevono per confermare la propria autenticità. Il sistema non prevede un limite massimo di tentativi, quindi un eventuale malintenzionato potrebbe forzare la fase di controllo cercando la giusta combinazione di codici per accedere al profilo dell’utente target.

Vodafone dichiara di essere a conoscenza delle scoperte dell’SRLabs e di essere già a lavoro sulle eventuali contromisure da adottare, mentre AT&T e Sprint hanno invece tirato in ballo la GSM Association (GSMA). Questa, tramite la portavoce Claire Cranton, ha sottolineato come i ricercatori della SRLabs mostreranno le loro ricerche ad uno specifico team della GSMA al fine di mettere in piedi le giuste correzioni.

Vai a: come attivare i messaggi RCS