我们在 90 年代犯的错误,如今被重新「发明」、重新犯错。

—— SRLabs 的研究人员 Karsten Nohl

大声

2019-12-03 09:06

都说时尚是个轮回,现在喜欢的阔腿裤、mini 包都是多年前的时尚潮流。而科技圈其实也颇为「复古」,不说乔布斯的高领毛衣多年之后伊丽莎白・霍姆斯还在穿,今天的种种产品设计,总让人有种时光倒流之感。

除了产品怀旧,错误也「怀旧」。过了那么多年,曾经犯过的错误,现在换了种形式继续犯。比如,运营商使用同一种标准,而这个标准的模糊之处让用户的信息安全更容易收到攻击。

作为世界上第二大的移动通讯网络公司,沃达丰所制定的标准 RCS(富通信套件)近日被研究人员指出存在大量漏洞。RCS 就像是一个在你的手机上的应用程序,使用用户名和密码就能登录其他的服务。

作为旨在取代 SMS 的新消息传递标准,RCS 在特定情况下暴露出的问题很可能会危及用户的数据安全,它可能会允许「入侵者」拦截用户的短信或电话、获取位置数据或伪造用户电话号码。

网络安全研究实验室(SRLabs)的 Karsten Nohl 表示:「我很惊讶,像沃达丰这样的大公司居然引进了一种可以毫不费力地曝光数亿人信息的技术,而这一切却不需要征求用户的意见,也不告诉用户。」

SRLabs 在一个未透露具体运营商的实验中发现了不少问题,他们发现手机上任何一个应用程序都可以通过漏洞下载你的 RCS 文件。若给应用程序相应的用户名和密码,它就可以访问你的所有语音和短信记录。

而在另一个实践案例中,SRLabs 发现运营商用以验证用户身份的六位数字密码则很容易被第三方强行破解。研究人员分析了几家不同运营商的 SIM 卡样本后发现了这些问题。SRLabs 估计至少有 100 家移动运营商采用了 RCS 标准,其中大部分为欧洲运营商。而美国的主要运营商 AT&T、T-Mobile,Sprint 和 Verizon 也已在使用 RCS 标准。

SRLabs 表示他们并不认为 RCS 标准本身有问题,但 RCS 标准通过不同的运营商实现就可能出现问题。因为有些标准是尚未定义的,所以很多公司会以自己的方式部署它,这过程中就会犯不同的错误。「现在每个运营商似乎都出了点问题,但方式不同。」

RCS 标准本质依然是短信的替代品。SRLabs 的实验证明,即使运营商转向了更现代的通信协议,通信网络安全仍是一个暴露的领域,在 RCS 的实现过程中给入侵者提供了不少可乘之机。

▲ 图片来自:Jamie Street on Unsplash

SRLabs 的研究人员 Nohl 认为这对很多网络而言实质上是一种倒退。

我们在 90 年代犯的错误,如今被重新「发明」、重新犯错。

题图来自 Daniela Holzer on Unsplash

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中

全真互联更重要的一点,就是我们最终是要回到服务各个行业真实的应用场景,去解决他们实实在在的问题。

查看全文 —— 腾讯云副总裁 李郁韬

我们对于未来去超越华为和苹果的旗舰手机拥有强大的信心。

查看全文 —— 荣耀 CEO 赵明

我们发现一个非常有意思的现象,所有 VR 的厂商同样都在悄悄的做 AR,但是不一定所有的 AR 厂商都会去做 VR。

查看全文 —— Nreal 创始人&CEO 徐驰

进入(手机)市场前 7 很重要,进入前 5 要花一点力气,进入前 3 是神仙打架,realme 进入前 5、前 3 的时候对公司战略资源协调都有更大的挑战。

查看全文 —— realme 全球副总裁徐起

绝大多数使用场景中,纯电已经可以满足用户需求,纯电才是新能源汽车的未来。

查看全文 —— 小鹏汽车董事长,UC优视创始人 何小鹏