EFF: RCS-standaard is momenteel niet veiliger dan sms
Apple kondigde onlangs aan de Rich Communications Services (RCS)-standaard op iPhones te gaan ondersteunen. De Electronic Frontier Foundation (EFF) wijst erop dat deze standaard momenteel echter niet veiliger is dan sms. Onder meer door het ontbreken van ondersteuning voor end-to-end encryptie door Apple.
RCS is een standaard die zowel sms als mms moet vervangen. Het biedt hierbij diverse verbeteringen, waaronder mogelijkheid langere berichten te versturen, berichten te verzenden via wifi en locatiedeling. GSMA werkt sinds 2007 aan de RCS-standaard. Google ondersteunt de standaard sinds 2019. Ondersteuning vanuit Apple bleef tot nu toe uit. Het bedrijf kondigde onlangs echter aan in de loop van 2024 alsnog ondersteuning voor RCS uit te rollen.
EFF wijst erop dat het RCS-protocol in de basis niet veiliger is dan sms. Zo zijn berichten niet standaard versleuteld en schrijft het protocol ook geen specifiek soort end-to-end encryptie voor, of doet aanbevelingen op dit vlak.
Wel biedt RCS native ondersteuning voor extensies. Google heeft hiervan gebruik gemaakt voor het implementeren van een eigen vorm van encryptie bovenop RCS, waarbij het gebruik maakt van het Signal-protocol. Deze versleuteling is echter alleen beschikbaar voor gebruikers die Google Messages gebruiken en klant zijn bij een provider die RCS ondersteunt. Indien dit voor een verzender of ontvanger niet het geval is, zijn berichten tussen beide partijen niet versleuteld.
Apple is niet van plan gepatenteerde end-to-end encryptie toe te passen op RCS, waarmee het lijkt te verwijzen naar de aanpak van Google. Wel zegt het Amerikaanse bedrijf toe ernaar te streven end-to-end encryptie onderdeel te maken van de RCS-standaard. De EFF stelt dat Google en Apple idealiter samenwerken aan het standaardiseren van end-to-end encryptie in RCS, zodat de oplossing werkt met producten van beide bedrijven. Het roept beide bedrijven aan op dit vlak de samenwerking aan te gaan met GSMA, en op korte termijn een dergelijke standaard te omarmen.
https://9to5google.com/2023/07/19/google-messages-mls-encrypted/
Dat al die CEO's of hoe ze zelf graag genoemd worden, nooit blijk hebben gegeven van dat ze het ook onfris hadden gevonden als ik dat in hùn eigen priveleven zou hebben gedaan.
Dat stoort me echt nog het meeste, ongeacht welk logo er op de gevel hangt. Precies die onbeschoftheid. Die totale onbeschaamdheid, gebrek aan respect en educatie.
Het IS matig qua veiligheid, geen "zou" . Tweeledig - geen encryptie van de berichten , waarmee het leesbaar is voor in elk geval de operators (zelf, justitie met een taplast, hackende geheime diensten zonder taplast) en eventuele partijen die het mobiele verkeer kunnen decrypten. Ook op het radio netwerk is de encryptie wat beperkt.
Daarnaast heeft SMS het risico van 'simswap' - een technische of social engineering aanval op de telco van je telefoonnummer om dat naar een andere sim om te zetten.
Normale functie wanneer je zelf 'met nummerbehoud' overstapt, maar een andere partij is vaak genoeg in staat gebleken dat te initieren.
Ik weet zo niet of 'rcs' wel of niet mee zou swappen bij een simswap , of dan allerlei alerts gaat geven.
Btw - was dit nou echt nieuw voor je en totaal niet terug te vinden als je zelf eens een beetje zoekt op Internet ? Je zit hier toch omdat je security interessant vind ?
Het IS matig qua veiligheid, geen "zou" . Tweeledig - geen encryptie van de berichten , waarmee het leesbaar is voor in elk geval de operators (zelf, justitie met een taplast, hackende geheime diensten zonder taplast) en eventuele partijen die het mobiele verkeer kunnen decrypten. Ook op het radio netwerk is de encryptie wat beperkt.
Daarnaast heeft SMS het risico van 'simswap' - een technische of social engineering aanval op de telco van je telefoonnummer om dat naar een andere sim om te zetten.
Normale functie wanneer je zelf 'met nummerbehoud' overstapt, maar een andere partij is vaak genoeg in staat gebleken dat te initieren.
Ik weet zo niet of 'rcs' wel of niet mee zou swappen bij een simswap , of dan allerlei alerts gaat geven.
Btw - was dit nou echt nieuw voor je en totaal niet terug te vinden als je zelf eens een beetje zoekt op Internet ? Je zit hier toch omdat je security interessant vind ?
Het is niet nieuw voor mij maar behalve dat simswappen vervelende gevolgen kan hebben geloof ik niet dat SMS vaak door criminelen misbruikt wordt.
Swappen wordt door providers gefaciliteerd die beter moeten controleren of de swap wel door de juiste persoon wordt aangevraagd.
Ik gebruik zelf geen Whatsapp, Signal of Telegram want ik vertrouw het voor geen meter.
Voor berichten gebruik ik alleen SMS.
Ik ben er nog nooit door in de problemen geraakt.
Een voordeel van SMS is dat ik berichten kan ontvangen zonder dat ik een netwerkverbinding aan heb staan.
Het IS matig qua veiligheid, geen "zou" . Tweeledig - geen encryptie van de berichten , waarmee het leesbaar is voor in elk geval de operators (zelf, justitie met een taplast, hackende geheime diensten zonder taplast) en eventuele partijen die het mobiele verkeer kunnen decrypten. Ook op het radio netwerk is de encryptie wat beperkt.
Daarnaast heeft SMS het risico van 'simswap' - een technische of social engineering aanval op de telco van je telefoonnummer om dat naar een andere sim om te zetten.
Normale functie wanneer je zelf 'met nummerbehoud' overstapt, maar een andere partij is vaak genoeg in staat gebleken dat te initieren.
Ik weet zo niet of 'rcs' wel of niet mee zou swappen bij een simswap , of dan allerlei alerts gaat geven.
Btw - was dit nou echt nieuw voor je en totaal niet terug te vinden als je zelf eens een beetje zoekt op Internet ? Je zit hier toch omdat je security interessant vind ?
Het is niet nieuw voor mij maar behalve dat simswappen vervelende gevolgen kan hebben geloof ik niet dat SMS vaak door criminelen misbruikt wordt.
Swappen wordt door providers gefaciliteerd die beter moeten controleren of de swap wel door de juiste persoon wordt aangevraagd.
Ik gebruik zelf geen Whatsapp, Signal of Telegram want ik vertrouw het voor geen meter.
Voor berichten gebruik ik alleen SMS.
Ik ben er nog nooit door in de problemen geraakt.
Toen ik begon in de IT was telnet en rlogin de norm - ook buiten het LAN.
Daar ben ik ook nooit mee in de problemen geraakt.
Evenmin heb ik persoonlijk iets gemerkt van e-mail (afgezien van spam) risico's .
Maar als design keuze voor 'de wereld' - inclusief mensen die _wel_ echt veel te verliezen hebben zijn die protocollen natuurlijk ongeschikt.
Waar je als relatieve nobody 'nooit een probleem van gemerkt hebt' is wat anders dan 'een geschikte keuze voor alle omstandigheden' .
Het IS matig qua veiligheid, geen "zou" . Tweeledig - geen encryptie van de berichten , waarmee het leesbaar is voor in elk geval de operators (zelf, justitie met een taplast, hackende geheime diensten zonder taplast) en eventuele partijen die het mobiele verkeer kunnen decrypten. Ook op het radio netwerk is de encryptie wat beperkt.
Daarnaast heeft SMS het risico van 'simswap' - een technische of social engineering aanval op de telco van je telefoonnummer om dat naar een andere sim om te zetten.
Normale functie wanneer je zelf 'met nummerbehoud' overstapt, maar een andere partij is vaak genoeg in staat gebleken dat te initieren.
Ik weet zo niet of 'rcs' wel of niet mee zou swappen bij een simswap , of dan allerlei alerts gaat geven.
Btw - was dit nou echt nieuw voor je en totaal niet terug te vinden als je zelf eens een beetje zoekt op Internet ? Je zit hier toch omdat je security interessant vind ?
Het lijkt wel, dat bij elk artikel, waar de overheid of een groot techbedrijf genoemd wordt, de beruchte rode lap gebruikt wordt, om er vol op in te gaan.
Het IS matig qua veiligheid, geen "zou" . Tweeledig - geen encryptie van de berichten , waarmee het leesbaar is voor in elk geval de operators (zelf, justitie met een taplast, hackende geheime diensten zonder taplast) en eventuele partijen die het mobiele verkeer kunnen decrypten. Ook op het radio netwerk is de encryptie wat beperkt.
Daarnaast heeft SMS het risico van 'simswap' - een technische of social engineering aanval op de telco van je telefoonnummer om dat naar een andere sim om te zetten.
Normale functie wanneer je zelf 'met nummerbehoud' overstapt, maar een andere partij is vaak genoeg in staat gebleken dat te initieren.
Ik weet zo niet of 'rcs' wel of niet mee zou swappen bij een simswap , of dan allerlei alerts gaat geven.
Btw - was dit nou echt nieuw voor je en totaal niet terug te vinden als je zelf eens een beetje zoekt op Internet ? Je zit hier toch omdat je security interessant vind ?
Het is niet nieuw voor mij maar behalve dat simswappen vervelende gevolgen kan hebben geloof ik niet dat SMS vaak door criminelen misbruikt wordt.
Swappen wordt door providers gefaciliteerd die beter moeten controleren of de swap wel door de juiste persoon wordt aangevraagd.
Ik gebruik zelf geen Whatsapp, Signal of Telegram want ik vertrouw het voor geen meter.
Voor berichten gebruik ik alleen SMS.
Ik ben er nog nooit door in de problemen geraakt.
Toen ik begon in de IT was telnet en rlogin de norm - ook buiten het LAN.
Daar ben ik ook nooit mee in de problemen geraakt.
Evenmin heb ik persoonlijk iets gemerkt van e-mail (afgezien van spam) risico's .
Maar als design keuze voor 'de wereld' - inclusief mensen die _wel_ echt veel te verliezen hebben zijn die protocollen natuurlijk ongeschikt.
Waar je als relatieve nobody 'nooit een probleem van gemerkt hebt' is wat anders dan 'een geschikte keuze voor alle omstandigheden' .
Ik hoop voor je dat je je backups goed ingericht hebt én dat je daar wachtwoorden voor gebruikt die niet ook op andere accounts gebruikt worden (of daar op lijken).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
