Зашто СМС текстуалне поруке нису приватне или безбедне

Руке држе паметни телефон.

ИмИанис/Схуттерстоцк.цом



Можда мислите да би прелазак са Фацебоок Мессенгер-а на старомодне текстуалне поруке помогао у заштити ваше приватности. Али стандардне СМС текстуалне поруке нису баш приватне или безбедне. СМС је као факс —стари, застарели стандард који одбија да нестане.

Ваш мобилни оператер може да види ваше СМС поруке

Са СМС-ом, поруке које шаљете нису шифроване од краја до краја. Ваш мобилни оператер може да види садржај порука које шаљете и примате. Те поруке се чувају у системима вашег мобилног оператера – тако да уместо да технолошка компанија као што је Фацебоок види ваше поруке, ваш мобилни провајдер може да види ваше поруке.





Мобилни оператери чувају садржај тих порука за разне количине времена . Поруке се често задржавају само неколико дана, али чувају метаподатке (који број је на који број послао поруку и у које време) још дуже. Ови записи могу бити предмет судског позива у правним поступцима—на пример, записи текстуалних порука су уобичајени облик доказа у случајевима развода.

Упоредите ово са ен-то-енд шифрованом апликацијом за ћаскање као што је Сигнал . Сигнал нема садржај ваше комуникације. Сигнал чак и не зна са ким разговарате. Подаци о вашим разговорима се чувају само на вашем уређају и уређају особе са којом разговарате – то је то.



Реклама

Осим тога, да ли треба да верујете свом мобилном оператеру са својим разговорима? Па, још 2019. године откривено је да су АТ&Т, Спринт и Т-Мобиле продаја података о локацији купаца агрегаторима. Користили су га сви, од обвезника кауције до одметнутих ловаца на главе. (Након што је ово објављено у вестима, мобилни оператери су обећали да ће престати.)

Да ли желите да те компаније виде сав садржај ваших личних разговора?

ПОВЕЗАН: Може ли неко заиста да прати тачну локацију мог телефона?



СМС поруке могу да пресретну криминалци

Куле ћелије испред позадине заласка сунца.

СЕРДТХОНГЦХАИ/Схуттерстоцк.цом

Али СМС поруке се користе за сигурност, зар не? Постоји разлог зашто се свака банка и финансијска институција ослања на СМС поруке да верификују ваш идентитет – зар не?

Па, да, постоји разлог. Али тај разлог није због безбедности. Само свако има телефонски број. Захтевање потврде путем СМС-а додаје додатну сигурност. Чак и ако СМС није посебно безбедан, он барем обезбеђује да нападач мора да пресретне СМС поруку поред уношења ваше лозинке.

СМС поруке се могу пресретнути. Мреже мобилних телефона широм света повезане су једна са другом преко протокола Систем сигнализације бр. 7 (СС7). Ово је начин на који ваш телефон може да се повеже на мобилну мрежу и да упућује и прима позиве, чак и када сте у другој земљи на другом крају света.

СС7 систем је био више пута нападани од стране хакера који су њушкали по СМС порукама или их пресрели. Ово је посебно корисно када се компромитују банковни рачуни, на пример – нападачи могу да уходе у верификационе кодове који се обично шаљу путем СМС-а, да их користе за приступ банковним рачунима и да их испразне.

Због тога су стручњаци за безбедност не препоручује се коришћење СМС-а за двофакторску аутентификацију . Апликација која генерише кодове на вашем уређају или је физички сигурносни кључ много отпорнији на метке. (Међутим, ако је СМС једина опција која вам је доступна, СМС је бољи него ништа .)

Власти могу да надгледају СМС поруке

Владе широм света имају приступ боре , уређаји који у суштини опонашају мобилни торањ. Када су постављени близу ваше физичке локације, они преваре ваш телефон да се повеже са њима (као што би се ваш телефон повезао са нормалним мобилним торањем). Стинграи уређај тада може да прати ваше кретање и види ваше СМС текстуалне поруке — баш као што то може ваш мобилни оператер.

Реклама

Осим локалног надзора, СМС поруке се такође могу пренети у веће системе за надзор. Према документе које је Едвард Сноуден објавио 2014 , НСА је у то време прикупљала преко 200 милиона текстуалних порука дневно из целог света.

Обавештајне службе других земаља такође имају приступ ражама и технологији за праћење СМС-а, па је јасно зашто шифроване комуникационе апликације као што су Сигнал и Телеграм посебно су популарни међу активистима који живе под репресивним режимима. На пример, Телеграм и Сигнал су забрањено у Ирану .

ПОВЕЗАН: Сигнал наспрам Телеграма: Која је најбоља апликација за ћаскање?

Ваш број телефона је изненађујуће лако отети

Осим СМС-а, телефонски бројеви заправо имају веома лошу сигурност—на нивоу оператера. Преварант може да позове вашег мобилног оператера или да оде у продавницу и да се лажно представља. Ако преварант има довољно детаља и може преварити представнике корисничке службе вашег оператера, они могу добити контролу над вашим бројем телефона. Можда имају порт мобилног оператера да пренесе ваш број телефона на другог мобилног оператера - баш као што бисте урадили да прелазите на другог провајдера мобилне телефоније. Или, могу да наложе оператера да изда нову СИМ картицу везану за ваш број телефона и да деактивира постојећу СИМ картицу, уклањајући приступ вашем броју телефона.

Сада би нападач имао ваш број телефона. Уз то, они могу добити приступ налозима заштићеним двофакторском аутентификацијом заснованом на СМС-у. За појединачне преваранте, преварити особу у служби за кориснике је лакше него хаковање СС7. Ово се зове превара са порт-оутом или напад замене СИМ картице.

Реклама

Често можете да заштитите свој број телефона додавањем додатних ПИН-ова и безбедносних функција код свог провајдера мобилне телефоније. Проверите код свог провајдера мобилне телефоније које безбедносне функције нуде за заштиту од превара са порт-оутом.

Ово се догодило приличном броју људи — доста тога ФЦЦ и Биро за боље пословање су објавили савете који упозоравају на ову превару.

ПОВЕЗАН: Криминалци могу украсти ваш број телефона. Ево како да их зауставите

иМессаге и РЦС: боље од СМС-а?

иМессаге разговор са плавим мехурићима на иПхоне-у.

ДенПхотос/Схуттерстоцк.цом

Апликација Мессагес на иПхоне-у подржава и СМС и Аппле-ову иМессаге услуга . На Андроиду је све више Андроид телефона добијање подршке за модерније Стандард богатих комуникационих услуга (РЦС). . Оба су дизајнирана да тихо надограде разговоре текстуалних порука на модерније, безбедније када обе особе користе уређаје који их подржавају. Па како се они пореде са СМС-ом?

Аппле-ов иМессаге се на неки начин ослања на СМС, користећи бројеве телефона као идентификаторе. Ако и ви и особа којој желите да пошаљете СМС имате иПхоне и омогућили сте иМессаге, сваки текст који пошаљете биће послат као иМессаге. Они су шифровани од краја до краја и шаљу се преко Аппле-ових сервера. Знаћете да се иМессаге користи јер поруке ће имати плаве мехуриће . Ако уместо тога видите зелене мехуриће, апликација Мессагес уместо тога користи СМС—јер шаљете поруке некоме без иМессаге-а, вероватно особи која је корисник Андроид-а.

Стандард РЦС који се поставља за кориснике Андроид-а — замислите га као Гоогле/Андроид еквивалент Аппле-овом иМессаге-у — није подржавао енд-то-енд енкрипцију од јануара 2021. Од новембра 2020. Гоогле је ради на додавању енд-то-енд енкрипције у РЦС . То значи да чак и са тим фенси новим РЦС системом на вашем Андроид телефону, ваш мобилни оператер и даље може да види садржај порука које шаљете, баш као и са СМС-ом.

Проблеми са СМС-ом, сажето

Хајде да брзо сумирамо проблеме са СМС-ом и упоредимо их са безбедном, енд-то-енд шифрованом апликацијом за ћаскање као што је Сигнал.

Са СМС-ом:

  • Ваш мобилни оператер може да види садржај порука које шаљете и примате. Било која прикупљена евиденција могла би бити позвана у судски поступак.
  • Хакери могу пресрести СМС поруке због слабости у нестабилном старом протоколу који их покреће. Ово доводи у опасност финансијске и друге рачуне.
  • Власти могу да распореде ражанке да њушкају садржај текстуалних порука у некој области.
  • Преваранти могу покушати да украду ваш број мобилног телефона тако што ће преварити особље за корисничку подршку вашег мобилног оператера.

Са Сигналом, на пример:

  • Ваш мобилни оператер не може да види садржај ваших порука. Чак ни Сигнал не може да види садржај ваших порука или кога контактирате - то остаје тајна. Сигнал не прикупља ове податке. Ако буде приморан судским позивом, Сигнал може не откривају скоро ништа о вашем коришћењу услуге.
  • Хакери реално не могу да отму сигналне поруке. Морали би да компромитују Протокол за шифровање сигнала , који стручњаци за безбедност сматрају одличним. (Насупрот томе, СС7 је више пута компромитован.)
  • Стинграис не могу да виде ваше разговоре. Власти не могу да њушкају садржај сигналних порука – не а да се не дочепају телефона који их садржи. Све што могу да виде је шифровани саобраћај који се шаље напред-назад до сервера Сигнала.
  • Превара са преносом која хвата ваш број телефона не би одобрила приступ вашем Сигнал налогу. Можете заштитити свој Сигнал налог помоћу а ПИН , тако да преварант не може само да приступи вашем Сигнал налогу. Чак и ако би преварант некако могао да погоди ваш ПИН и приступи вашем Сигнал налогу, ваше Сигнал поруке се чувају на вашем телефону и неће се синхронизовати ни са једним новим уређајем који добија приступ вашем налогу.

Шта би требало да користите уместо тога

Сигналне апликације које приказују листу разговора и разговор.

Сигнал

Користили смо Сигнал као пример овде јер је контраст тако оштар— Сигнал је најшире препоручена апликација за приватно ћаскање, са увек укљученим енд-то-енд енкрипцијом .

Реклама

Ако имате иПхоне, комуникација са иМессаге-ом је много приватнија и безбеднија од коришћења обичног старог СМС-а. Надамо се да ће Андроид корисници једног дана имати безбедне енд-то-енд шифроване поруке уграђене у своје уређаје након побољшања РЦС-а. Нажалост, иМессаге и РЦС нису компатибилни једни са другима, тако да ће иПхоне и Андроид телефони морати да комуницирају преко СМС-а - или да се пребаце на различите апликације за ћаскање које нису уграђене.

Друге апликације за ћаскање су такође опција. Телеграм је популаран, иако подразумевано не користи енд-то-енд енкрипцију. ВхатсАпп барем подразумевано користи енд-то-енд енкрипцију, за разлику од Фацебоок Мессенгер-а—ако верујете апликацији за ћаскање којом управља Фацебоок. Али чак је и Фацебоок Мессенгер вероватно сигурнији од СМС-а – ви верујете Фејсбуку са својим порукама, али барем не морате да бринете о проблемима у древном, шкрипавом старом СС7 протоколу.

За сигурност са два фактора, најбоље је избегавати СМС за заиста критичне задатке. Нажалост, неке услуге ће се ионако вратити на СМС аутентификацију — ради погодности. Понекад постоје алтернативе. На пример, Гоогле нуди напредну заштиту за новинаре, активисте, пословне лидере и политичаре којима је потребна максимална сигурност својих налога, а за то је потребна употреба физички сигурносни кључ . Без обзира на то, двофакторска сигурност заснована на СМС-у је и даље боља него ништа.

ПОВЕЗАН: Шта је сигнал и зашто га сви користе?

Будућност СМС-а: Хоће ли икада бити поправљена?

СМС је само застарела технологија. Јасно је да није изграђен имајући на уму приватност и безбедност, а те дизајнерске одлуке су и данас са њим.

Надамо се да ће то бити поправљено у будућности. Ако РЦС постане зрелији, добије енд-то-енд енкрипцију и доступан је на свим Андроид телефонима - па, све што би Аппле морао да уради јесте да пристане да РЦС на неки начин учини компатибилним са иМессаге-ом. Тада би сви модерни паметни телефони имали безбедну размену порука која не зависи од уграђених древних протокола.

За сада је најбоље да избегавате текстуалне поруке ако сте забринути за своју приватност или безбедност својих налога.

ПОВЕЗАН: Сигнал наспрам Телеграма: Која је најбоља апликација за ћаскање?

ПРОЧИТАЈТЕ СЛЕДЕЋЕ Профилна слика за Цхриса Хоффмана Цхрис Хоффман
Цхрис Хоффман је главни уредник Хов-То Геек. О технологији је писао више од деценије и две године је био колумниста ПЦВорлд-а. Крис је писао за Тхе Нев Иорк Тимес, био је интервјуисан као стручњак за технологију на ТВ станицама као што је НБЦ 6 у Мајамију, а његов рад су покривале новинске куће као што је ББЦ. Од 2011. Крис је написао преко 2.000 чланака који су прочитани скоро милијарду пута --- и то само овде у Хов-То Геек.
Прочитајте целу биографију

Занимљиви Чланци