Можливо, ви не хочете, щоб Facebook бачив кожне повідомлення, яке ви надсилаєте, але стандартні текстові повідомлення нічим не кращі. Насправді вони ще гірші. SMS схожі на факс – застарілий стандарт, який має зникнути найближчим часом.
Ваш оператор може бачити SMS-повідомлення
SMS повідомлення, які Ви надсилаєте, не шифруються наскрізно. Оператор зв’язку може бачити вміст повідомлень, які Ви надсилаєте та отримуєте, і вони зберігаються в його системах. Оператори зберігають вміст цих повідомлень протягом різного періоду часу.
Повідомлення часто зберігаються лише протягом декількох днів, але вони зберігають метадані (який номер надіслав повідомлення на який номер і в який час) набагато довше. Ці записи можуть бути використані в судовому процесі – наприклад, записи текстових повідомлень є звичайною формою доказів у справах про розлучення.
Можна уникнути даних проблем, якщо використовувати безпечний додаток для обміну повідомленнями, наприклад Signal. Signal не має вмісту Ваших повідомлень, він навіть не знає, з ким Ви розмовляєте. Дані розмов зберігаються лише на Вашому пристрої та пристрої того, з ким Ви спілкуєтесь.
SMS-повідомлення можуть перехоплювати злочинці
Але ж SMS-повідомлення використовуються для безпеки, чи не так? Є причина, чому кожен банк та фінансова установа покладається на SMS-повідомлення для підтвердження вашої особи, чи не так?
Ну, так, причина є. Але ця причина не пов’язана з безпекою. Просто у кожного є номер телефону. Вимога підтвердження за допомогою SMS додає додаткової безпеки. Навіть якщо SMS не є особливо безпечним, це принаймні гарантує, що зловмисникові доведеться перехопити SMS-повідомлення на додаток до введення вашого пароля.
SMS-повідомлення можна перехопити. Мобільні телефонні мережі по всьому світу з’єднані між собою за допомогою протоколу Signaling System No 7 (SS7). Завдяки цьому ваш телефон може підключатися до стільникової мережі і здійснювати та приймати дзвінки, навіть якщо ви перебуваєте в іншій країні на іншому кінці світу.
Читайте також: SMS-фішинг: як не потрапити на гачок шахраїв
Система SS7 неодноразово піддавалася атакам хакерів, які підглядали за SMS-повідомленнями або перехоплювали їх. Це особливо корисно, наприклад, при компрометації банківських рахунків – зловмисники можуть підглядати коди підтвердження, які зазвичай надсилаються через SMS, використовувати їх для доступу до банківських рахунків і зняття коштів з них.
Саме тому фахівці з безпеки рекомендують не використовувати SMS для двофакторної автентифікації. Додаток, який генерує коди на вашому пристрої, або фізичний ключ безпеки набагато надійніші. (Однак, якщо SMS – це єдиний доступний вам варіант, SMS – це краще, ніж нічого).
SMS-повідомлення можуть контролюватися владою
Уряди по всьому світу мають доступ до пристроїв, які, по суті, імітують вишки стільникового зв’язку. Розміщені поблизу вашого фізичного місцезнаходження, вони обманом змушують ваш телефон під’єднатися до них (так само, як ваш телефон під’єднався б до звичайної вишки стільникового зв’язку). Після цього пристрій “скат” може відстежувати ваші переміщення і бачити ваші SMS-повідомлення – так само, як це може робити ваш мобільний оператор.
Окрім локального моніторингу, SMS-повідомлення також можуть бути використані у більш масштабних системах спостереження. Згідно з документами, оприлюдненими Едвардом Сноуденом у 2014 році, АНБ США на той час збирало понад 200 мільйонів текстових повідомлень на день з усього світу.
Читайте також: Під час вторгнення росіян українці звернулися до програми для зашифрованих повідомлень Signal
Спецслужби інших країн також мають доступ до “скатів” і технологій SMS-моніторингу, тому зрозуміло, чому додатки для зашифрованого спілкування, такі як Signal або Telegram, користуються особливою популярністю серед активістів, які живуть в умовах репресивних режимів. Наприклад, Telegram і Signal заборонені в Ірані.
Ваш номер телефону напрочуд легко викрасти
Окрім SMS, телефонні номери насправді мають дуже низький рівень захисту – на рівні оператора. Шахрай може зателефонувати вашому мобільному оператору або зайти в магазин і видати себе за вас. Якщо шахрай має достатньо даних і може обдурити представників служби підтримки вашого оператора, він може отримати контроль над вашим номером телефону. Вони можуть попросити оператора “перенести” ваш номер телефону до іншого мобільного оператора – так само, як це зробили б ви, якби переходили до іншого оператора мобільного зв’язку. Або ж вони можуть попросити оператора випустити нову SIM-карту, прив’язану до вашого номера телефону, і деактивувати вашу існуючу SIM-карту, видаливши доступ до вашого номера телефону.
Тепер зловмисник матиме ваш номер телефону. Таким чином, він може отримати доступ до акаунтів, захищених двофакторною автентифікацією на основі SMS-повідомлень. Зрештою, для окремого шахрая обдурити співробітника служби підтримки простіше, ніж зламати SS7. Це називається “шахрайство з перенесенням номера” або “атака зі зміною SIM-картки”.
Читайте також: Атака підміни SIM-картки: що це таке і як її уникнути?
Часто ви можете захистити свій номер телефону, додавши додаткові PIN-коди та функції безпеки у свого мобільного оператора. Дізнайтеся у свого мобільного оператора, які функції безпеки він пропонує для захисту від шахрайства з перенесенням номера.
iMessage та RCS: Краще, ніж SMS?
Додаток “Повідомлення” на iPhone підтримує як SMS, так і власний сервіс iMessage від Apple. На Android все більше телефонів отримують підтримку більш сучасного стандарту Rich Communication Services (RCS). Обидва вони призначені для тихого “оновлення” текстових повідомлень до більш сучасних і безпечних, коли обидва користувачі використовують пристрої, які їх підтримують. Тож як вони відрізняються від SMS?
Apple iMessage в певному сенсі нагадує SMS, використовуючи телефонні номери як ідентифікатори. Якщо і ви, і людина, якій ви хочете написати повідомлення, маєте iPhone і увімкнули iMessage, будь-який текст, який ви надсилаєте, буде надіслано у вигляді iMessage. Вони наскрізь зашифровані і надсилаються через сервери Apple. Ви знатимете, що використовується iMessage, тому що повідомлення матимуть сині бульбашки. Якщо ви бачите зелені бульбашки, це означає, що програма “Повідомлення” використовує SMS – тому що ви надсилаєте повідомлення комусь без iMessage, ймовірно, користувачеві Android.
Читайте також: Чи має компанія Apple доступ до Ваших повідомлень у iMessage?
Стандарт RCS, який просувається для користувачів Android захищає ваші повідомлення за допомогою шифрування протоколу безпеки транспортного рівня (TLS). Тому якщо зловмисник спробує перехопити повідомлення між вашим пристроєм і сервером Google, він побачить лише зашифрований текст, який неможливо прочитати. Щоб обмінюватися повідомленнями через протокол RCS, обидві сторони розмови (відправник і отримувач) повинні ввімкнути RCS-чати. В іншому разі повідомлення надсилатимуться як SMS або MMS.
Підсумок проблем з SMS
Давайте швидко підсумуємо проблеми з SMS і порівняємо їх з безпечним, наскрізно зашифрованим додатком для чату, таким як Signal.
З SMS:
- Ваш мобільний оператор може бачити вміст повідомлень, які ви надсилаєте та отримуєте. Будь-які зібрані записи можуть бути затребувані в судовому порядку.
- SMS-повідомлення можуть бути перехоплені хакерами через слабкі місця в застарілому протоколі, який їх забезпечує. Це ставить під загрозу фінансові та інші рахунки.
- Влада може розгортати “скати” для стеження за змістом текстових повідомлень у певній місцевості.
- Шахраї можуть спробувати викрасти ваш номер мобільного телефону, обдуривши співробітників служби підтримки вашого мобільного оператора.
За допомогою Signal:
- Ваш мобільний оператор не може бачити вміст ваших повідомлень. Навіть Signal не може бачити зміст ваших повідомлень або з ким ви зв’язуєтеся – це залишається таємницею. Signal не збирає ці дані. Якщо вас викличуть до суду, Signal не зможе розкрити майже нічого про ваше використання сервісу.
- Повідомлення Signal не можуть бути перехоплені хакерами. Їм довелося б скомпрометувати протокол шифрування Signal, який експерти з безпеки вважають чудовим. (На відміну від нього, SS7 був неодноразово скомпрометований).
- “Скати” не можуть бачити ваші розмови. Влада не може шпигувати за змістом повідомлень Signal, не отримавши в свої руки телефон, на якому вони зберігаються. Все, що вони можуть бачити – це зашифрований трафік, який надсилається туди і назад на сервери Signal.
- Шахраї, які перехоплюють ваш номер телефону, не зможуть отримати доступ до вашого акаунту Signal. Ви можете захистити свій акаунт Signal за допомогою PIN-коду, тому шахрай не зможе просто отримати доступ до вашого акаунту Signal. Навіть якщо шахрай якимось чином вгадає ваш PIN-код і отримає доступ до вашого акаунта Signal, ваші повідомлення Signal зберігатимуться на вашому телефоні і не будуть синхронізовані з новими пристроями, які отримають доступ до вашого акаунта.
Що варто використовувати замість цього?
Ми використали Signal як приклад, оскільки контраст між ними дуже разючий… Signal – це найбільш рекомендований додаток для приватного чату, з постійно увімкненим наскрізним шифруванням.
Якщо у вас є iPhone, спілкування за допомогою iMessage є набагато більш приватним і безпечним, ніж за допомогою звичайних SMS. На жаль, iMessage і RCS не сумісні один з одним, тому користувачам iPhone і Android доведеться спілкуватися за допомогою SMS – або переключитися на інші чат-додатки, які не є вбудованими.
Читайте також: Signal, WhatsApp і Telegram: що Вам потрібно знати про безпеку та відмінності в конфіденційності
Інші чат-додатки також є варіантом. Telegram популярний, хоча він не використовує наскрізне шифрування за замовчуванням. WhatsApp принаймні використовує наскрізне шифрування за замовчуванням, на відміну від Facebook Messenger – якщо ви довіряєте додатку для чату від Facebook. Але навіть Facebook Messenger, можливо, більш безпечний, ніж SMS – ви довіряєте Facebook свої повідомлення, але принаймні вам не потрібно турбуватися про проблеми в стародавньому, скрипучому протоколі SS7.
Читайте також: Signal чи Telegram: який додаток кращий для чату?
Для двофакторної безпеки краще уникати SMS для дійсно важливих завдань. На жаль, деякі сервіси все одно звертаються до SMS-аутентифікації – для зручності. Іноді існують альтернативи. Наприклад, Google пропонує розширений захист для журналістів, активістів, бізнесменів і політиків, які потребують максимального захисту своїх акаунтів, і він вимагає використання фізичного ключа безпеки. Тим не менш, двофакторний захист на основі SMS все ж краще, ніж нічого.
Майбутнє SMS: Чи буде воно коли-небудь виправлено?
SMS – це просто застаріла технологія. Вона явно не була побудована з урахуванням конфіденційності та безпеки, і ці дизайнерські рішення все ще залишаються з нею і сьогодні.
Сподіваємось, це буде виправлено в майбутньому. Якщо RCS стане більш зрілою, отримає наскрізне шифрування і буде доступною на всіх телефонах Android – тоді все, що Apple потрібно буде зробити, це погодитися зробити RCS сумісною з iMessage в якийсь спосіб. Тоді всі сучасні смартфони матимуть захищений обмін повідомленнями, який не залежатиме від вбудованих застарілих протоколів.
Наразі краще уникати текстових повідомлень, якщо ви турбуєтеся про свою конфіденційність або безпеку своїх акаунтів.