RCS漏洞可以帮助黑客控制您的银行帐户

丰富的通信服务(RCS)是无线消息传递的下一代。与使用无线运营商的蜂窝连接的SMS/Text不同，RCS通过运营商的数据网络运行。这样可以在可能的情况下通过Wi-Fi发送消息。这还将使每条消息允许的字符数从文本的160个上限增加到8,000个。另外，RCS发出“已读回执”，以便用户知道收件人何时阅读了他们的邮件。当有人键入对RCS调度的响应时，一个三点指示器将使用户知道正在编写传入消息。最多可以与100位参与者进行群组消息，并且可以共享包含图像和视频的较大文件。

美国无线运营商对该平台有很大的计划。美国四大运营商均已成立了跨运营商消息传递计划(CCMI)，并计划明年向其Android客户提供基于RCS的消息传递应用程序。无线运营商正计划通过允许用户购买机票，访问他们喜欢的品牌甚至购买产品而无需离开消息传递应用程序，从而通过RCS货币化。同时，就像今年早些时候在英国和法国通过发布RCS消息传递应用程序终止运营商的做法一样，Google最近开始在美国所有Android手机上推出RCSChat。接收它的人必须选择AndroidMessages应用程序集作为其默认消息传递平台。

黑客利用RCS上发现的漏洞可以窃取一次密码并更改用户的在线帐户

但是，德国(SRLabs)发现，RCS似乎有阴暗面。这家安全公司表示，为RCS准备好Android手机的过程使该平台具有广泛的开放空间，可被黑客入侵，并且对用户的保护很少。攻击者可以接管用户帐户，并且目前使用最广泛的RCS客户端(上述的AndroidMessages应用程序)对域，证书和用户身份的验证不足。结果，黑客可以欺骗域名，甚至允许呼叫者ID欺骗和欺诈。

黑客可以通过RCS漏洞进行的某些攻击

SRLabs发现，通过RCS，黑客可以跟踪用户并验证他们是否在线。通过欺骗呼叫者ID，黑客可以假装是其他人。该平台中的漏洞可能允许不良演员劫持SMS发送的一次性密码;这可以允许未经授权的银行交易获得批准，或帮助将帐户控制权转移给黑客。该报告指出：“根本问题是，RCS客户端(包括官方的Android消息传递应用程序)未正确验证服务器身份是否与配置阶段网络提供的身份匹配。这一事实可通过DNS欺骗加以滥用，使黑客能够位于移动和RCS网络核心之间的加密连接中间。”

通过使用这些最佳实践，可以缓解RCS攻击

SRLabs说，漏洞可以纠正。一些建议包括使用“强”一次密码，以及使用来自用户SIM卡的信息来验证用户身份。所使用的RCS客户端(例如，AndroidMessages应用程序)应仅连接到受信任的域并验证证书。

如果RCS要发挥其潜能，则需要修补这些漏洞。如果运营商计划将其货币化，那就尤其如此。消费者将要使用他们可以信任的消息应用程序，目前尚不清楚RCS是否可以完全信任。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！