 |
Как указали студенты в своем исследовании, соответствующая ошибка была обнаружена в реализации сертификата безопасности, содержащегося в Android-приложении компании. Программа использует в своей работе целую цепочку сертификатов, один из которых является корневым и "не соответствует стандартам распределения Certificate Authority (CA)".
Эксперты также отметили, что в ходе атаки у потенциального злоумышленника появляется возможность перехватить SIP-сообщение, содержащее ключ шифрования для всей последующей сессии. Кроме того, уязвимость предоставляет атакующим возможность записывать входящие и исходящие звонки, а также SMS-сообщения.
Представители T-Mobile не давали официальных комментариев относительно ситуации, однако уже выпустили обновление безопасности.
