我们在 90 年代犯的错误,如今被重新「发明」、重新犯错。

—— SRLabs 的研究人员 Karsten Nohl

大声

2019-12-03 09:06

都说时尚是个轮回,现在喜欢的阔腿裤、mini 包都是多年前的时尚潮流。而科技圈其实也颇为「复古」,不说乔布斯的高领毛衣多年之后伊丽莎白・霍姆斯还在穿,今天的种种产品设计,总让人有种时光倒流之感。

除了产品怀旧,错误也「怀旧」。过了那么多年,曾经犯过的错误,现在换了种形式继续犯。比如,运营商使用同一种标准,而这个标准的模糊之处让用户的信息安全更容易收到攻击。

作为世界上第二大的移动通讯网络公司,沃达丰所制定的标准 RCS(富通信套件)近日被研究人员指出存在大量漏洞。RCS 就像是一个在你的手机上的应用程序,使用用户名和密码就能登录其他的服务。

作为旨在取代 SMS 的新消息传递标准,RCS 在特定情况下暴露出的问题很可能会危及用户的数据安全,它可能会允许「入侵者」拦截用户的短信或电话、获取位置数据或伪造用户电话号码。

网络安全研究实验室(SRLabs)的 Karsten Nohl 表示:「我很惊讶,像沃达丰这样的大公司居然引进了一种可以毫不费力地曝光数亿人信息的技术,而这一切却不需要征求用户的意见,也不告诉用户。」

SRLabs 在一个未透露具体运营商的实验中发现了不少问题,他们发现手机上任何一个应用程序都可以通过漏洞下载你的 RCS 文件。若给应用程序相应的用户名和密码,它就可以访问你的所有语音和短信记录。

而在另一个实践案例中,SRLabs 发现运营商用以验证用户身份的六位数字密码则很容易被第三方强行破解。研究人员分析了几家不同运营商的 SIM 卡样本后发现了这些问题。SRLabs 估计至少有 100 家移动运营商采用了 RCS 标准,其中大部分为欧洲运营商。而美国的主要运营商 AT&T、T-Mobile,Sprint 和 Verizon 也已在使用 RCS 标准。

SRLabs 表示他们并不认为 RCS 标准本身有问题,但 RCS 标准通过不同的运营商实现就可能出现问题。因为有些标准是尚未定义的,所以很多公司会以自己的方式部署它,这过程中就会犯不同的错误。「现在每个运营商似乎都出了点问题,但方式不同。」

RCS 标准本质依然是短信的替代品。SRLabs 的实验证明,即使运营商转向了更现代的通信协议,通信网络安全仍是一个暴露的领域,在 RCS 的实现过程中给入侵者提供了不少可乘之机。

▲ 图片来自:Jamie Street on Unsplash

SRLabs 的研究人员 Nohl 认为这对很多网络而言实质上是一种倒退。

我们在 90 年代犯的错误,如今被重新「发明」、重新犯错。

题图来自 Daniela Holzer on Unsplash

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中

目前已经有约 70 款终端采用 FastConnect 6800 子系统,实现了对 Wi-Fi 6 的支持

查看全文 —— 高通产品市场总监 胡鹏

我们会共同打击有关新冠病毒欺诈和错误信息,提升我们平台上的权威内容,并与世界各地的政府医疗机构协调,共享更新重要信息。

查看全文 —— 7 家科技公司联合声明

我们发现 Find X 防水防尘重量等层面的需求上得不到满足。所以我们综合考虑设计、防水、影像、5G 以及续航,在这一代放弃了升降结构,采用曲面的挖孔全面屏设计。

查看全文 —— OPPO 高级手机产品经理施福来

当你只在部分假新闻标上警告标签,读者会觉得所有没有被标注的内容都是真的,鉴别假新闻的意识降低,这被称为「默示式真相」。

查看全文 —— MIT 副教授 David Rand

研究论文撤回数量的增长,可能是我们的科学研究系统在处理问题和纠正问题上正在变得更好的一个迹象。讽刺的是,很多人还是会觉得论文撤回是科学界出了问题的信号。

查看全文 —— Daniele Fanelli