teltarif: Forscher entdecken Sicherheitslücke im SMS-Nachfolger RCS
5 years ago
https://www.teltarif.de/sicherheitsluecke-rcs-sms-smartphone/news/78836.html
Ich finde es interessant, dass die Hacker mittlerweile Forscher heißen.
Das Thema ist für Telekom-Kunden interessanter als für manche Kunden anderer Anbieter, die RCS von vorneherein gar nicht unterstützen. RCS soll mit seiner erweiterten Funktionalität Messenger-Diensten wie WhatsApp Konkurrenz machen.
Hier ein kürzlicher Experten-Thread zum Thema:
399
12
5 years ago
Es gibt halt nix sicheres. Das sollte jedem klar sein.
Alles ist irgendwann knackbar bzw angreifbar.
0
5 years ago
Ob diese "Forscher" überhaupt wissen, wovon sie schreiben? Oder gab es bei den Autoren der Artikel Missverständnisse?
Zitate aus dem verlinkten Artikel (Link siehe Startbeitrag):
In Deutschland betreibt unter anderem die Deutsche Telekom mit Message+ einen RCS -Dienst.
Wie es in dem ebenfalls verlinkten Thread der RCS -Experten-Woche ersichtlich ist, nutzt das RCS hauptsächlich die normale Nachrichten-App der Handys, nicht die im Artikel erwähnte App. Da die neueren Betriebssysteme von Android nämlich RCS in der normalen Nachrichten-App mit eingebaut hat. Also braucht man dann in dem Fall die im Artikel verwendete App gar nicht für RCS .
Wer dann die erwähnte App nutzt, braucht die eigentlich nicht, wenn er schon ein entsprechendes OS hat. Sogar ich kann RCS nutzen über die Nachrichten-App von Win 10 Mobile, obwohl es gar keine Message+-App für mein Handy gibt.
Diese Message+-App gibt/gab es mal für Android. Wobei viele neuere Geräte das gar nicht mehr brauchen. Dann also hinfällig für sie.
Und die App gibt es noch bei der Telekom für iOS, also iPhones. Wer RCS mit so einem Gerät nutzen möchte, der braucht noch die App. Denn der Hersteller des Betriebssystems weigerte sich bisher in seine Nachrichten-App RCS zu integrieren. So dass die Telekom iPhone-Inhabern nur RCS zur Verfügung stellen können über den Umweg Message+App. Die Telekom und andere Anbieter versuchen schon eine Weile Apple davon zu überzeugen, das zu ändern.
Ob iPhones dann mit ihrem sehr eingeschränkten System gegen Zugriffe von außen und der Sandbox es tatsächlich zulässt, dass jemand mitlesen kann? Keine Ahnung. Im Artikel ist nicht das Betriebssystem der Geräte genannt, bei welchem man es geschafft hätte mitzulesen. Ob das etwa noch alte Android-Geräte (und gar keine iPhones) waren? Wie schon geschrieben: Bei den neueren Android-Geräten läuft es über die normale Nachrichten-App der Android-Geräte, Message+ nicht notwendig.
Somit frage ich mich, inwieweit es denn überhaupt für die meisten Nutzer relevant ist, was diese "Forscher" heraus gefunden haben. Beziehungsweise, ob davon die meisten gar nicht betroffen sein könnten, da es bei ihnen sowieso anders läuft?
Braucht man für diese Message+ App den Eintrag eines Passworts? Keine Ahnung, denn für mein Handy, welches schon mehrfach RCS versandt hat, gibt es gar keine Message+-App. Das läuft bei mir nur über die Nachrichten-App des Gerätes, Identifikation per SIM.
Die Forscher von SRLabs schlagen als Schutzmaßnahme unter anderem vor, dass sich Handys gegenüber den RCS -Servern mit ihrer SIM-Karte ausweisen müssen, statt mit einem beliebigen Passwort. So ließen sich viele Angriffe verhindern.
Von was reden die eigentlich? Ich nutze die normale Nachrichten-App, und damit läuft es über die SIM-Karte des Handys. I
ch tippe kein Passwort dabei ein. Warum sollte ich das auch? Es wird die Nachrichten-App genutzt, mit der auch die SMS geschrieben, gesendet und empfangen werden können.
Und das läuft auch per Identifikation per SIM-Karte. Welches Passwort soll ich denn bitte schön wo in RCS gesetzt haben? Nicht nötig, denn es wird die Identifikation sowieso schon über die SIM gemacht.
3
Answer
from
5 years ago
In dem Artikel stand nix davon dass es Passwörter sind die von Nutzern kommen. Ich musste auch in der App für iPhone kein Passwort eingeben. Wüsste also nicht welches eigene Passwort hier gemeint ist.
Daher hört es sich für ich eher wie irgendwelche vom System vergebenen Passwörter an um sich irgendwo anzumelden und dann ist auch dein Handy betroffen @Sherlocka
Answer
from
5 years ago
Ausserdem steht nichts im Artikel davon. dass die Schwachstelle in einer der APPS liegt, sondern es ist vom RCS Netzwerk die Rede.
Answer
from
5 years ago
Deshalb schiebe ich aber noch keine Panik.
Mehr Infos gibt es sowieso erst nächste Woche.
Details zu den Schwachstellen wollen die Sicherheitsforscher Luca Melette und Sina Yazdanmehr vom Berliner IT-Sicherheits-Unternehmen SRLabs am kommenden Mittwoch auf der Konferenz "Black Hat Europe" in London vorstellen.
Unlogged in user
Answer
from
5 years ago
... Ich finde es interessant, dass die Hacker mittlerweile Forscher heißen. ...
...
Ich finde es interessant, dass die Hacker mittlerweile Forscher heißen.
...
Naja.
Hacker, welche ihre Ergebnisse publizieren und sich der Diskussion stellen unterscheiden sich inwiefern von anderen Wissenschaftlern??
Natürlich gibt es auch Hacker, die ihre Forschungsergebnisse eigennützig verwenden. Hier von Wissenschaftlern zu sprechen, würde wohl keinem einfallen.
6
Answer
from
5 years ago
Aha, alles klar. London. Bei denen ist es nur eine Stunde später.
Answer
from
5 years ago
https://www.sueddeutsche.de/digital/sms-ausspionieren-rcs-handynetz-unsicher-1.4701524
dort drin stand sowieso schon recht viel.
Die zwei großen "deutschen" RCS -Anbieter schneiden bezüglich Passwörter ... etwas besser ab, wenn man es genau liest.
Also ist der Heise-Artikel eher in Richtung B..d gegangen.
"Diese Konfiguration fanden sie bei einem größeren europäischen Telefonanbieter. Welcher betroffen ist, wollen sie nicht verraten, um kriminellen Hackern keinen Hinweis auf Ziele zu geben. Vodafone und die Deutsche Telekom verlangen jedoch laut ihren Tests ein verhältnismäßig sicheres OTP, das den Angriff auf Textnachrichten extrem erschwert."
Es gibt Potential für Verbesserungen, aber es ist anders im Detail als zunächst vom Eindruck her vermittelt.
Manches besser, manches schlechter.
In dem Artikel steht, dass sich am Montag hätte der Weltverband zu den Sicherheitsstandards äußern sollen.
"Laut der Deutschen Telekom wird sich der für den RCS -Standard verantwortliche Weltverband der Mobilfunkunternehmen GSMA am Montag gegenüber Telefonunternehmen zu Schwachstellen bei RCS äußern."
Hat jemand etwas davon gelesen, dass so etwas war?
Aber möglicherweise wird das bewusst hinter verlossenen Türen statt gefunden haben, damit man es potentiellen Angreifern nicht leichter machen kann, leichte Beute zu machen.
Und dass manche Gefahr durch den Umgang des Nutzers mit seinem eigenen Gerät entsteht oder gebannt werden kann, wurde in dem Artikel nicht unterschlagen.
"Auch Kunden können ihren Schutz erhöhen, in dem sie stets darauf achten, in welches kostenlose Wlan sie sich einloggen und überprüfen, welche Entwickler tatsächlich hinter harmlos klingenden Apps stecken."
Answer
from
5 years ago
Und dass manche Gefahr durch den Umgang des Nutzers mit seinem eigenen Gerät entsteht oder gebannt werden kann, wurde in dem Artikel nicht unterschlagen. "Auch Kunden können ihren Schutz erhöhen, in dem sie stets darauf achten, in welches kostenlose Wlan sie sich einloggen und überprüfen, welche Entwickler tatsächlich hinter harmlos klingenden Apps stecken."
Und dass manche Gefahr durch den Umgang des Nutzers mit seinem eigenen Gerät entsteht oder gebannt werden kann, wurde in dem Artikel nicht unterschlagen.
"Auch Kunden können ihren Schutz erhöhen, in dem sie stets darauf achten, in welches kostenlose Wlan sie sich einloggen und überprüfen, welche Entwickler tatsächlich hinter harmlos klingenden Apps stecken."
Das ist generell so und sollte unabhängig von RCS immer befolgt werden. (meiner Meinung nach)
Unlogged in user
Answer
from
Unlogged in user
Ask
from