Чому SMS не є приватними та безпечними?

Багато користувачів уникають Facebook через побоювання за конфіденційність, але стандартні текстові повідомлення ще гірші. SMS схожі на факс — застарілий стандарт, який давно мав зникнути. У 2026 році ситуація практично не змінилася, а деякі загрози навіть посилилися.

Оператори мобільного зв’язку бачать усі ваші SMS

SMS-повідомлення не захищені наскрізним шифруванням. Це означає, що мобільний оператор має доступ до змісту кожного повідомлення, яке ви надсилаєте та отримуєте. Ці дані зберігаються в системах оператора протягом різних періодів часу. Зазвичай повідомлення зберігаються лише кілька днів, але метадані залишаються набагато довше. Записи про те, який номер кому надіслав повідомлення і коли, можуть використовуватися в судових справах. Текстові повідомлення є звичайною формою доказів у справах про розлучення та інших судових процесах.

Для порівняння: безпечні месенджери на кшталт Signal не мають доступу до змісту ваших повідомлень. Signal навіть не знає, з ким ви спілкуєтеся. Розмови зберігаються виключно на ваших пристроях, і ніхто, навіть розробники Signal, не може їх прочитати.

Загроза SS7: критична вразливість, яка не зникає

Мобільні мережі по всьому світу з’єднані між собою за допомогою протоколу Signaling System No 7 (SS7). Саме завдяки цьому ваш телефон може підключатися до мережі навіть за кордоном. Проте SS7 розроблявся ще в 1970-х роках без урахування безпеки — тоді ніхто не передбачав сучасних кіберзагроз.

У травні 2025 року на підпільних хакерських форумах з’явилася нова 0-day вразливість SS7, яку продають за 5000 доларів США. Експлойт дозволяє перехоплювати SMS-повідомлення в реальному часі, відстежувати місцезнаходження з точністю до 50 метрів, перенаправляти дзвінки та обходити двофакторну автентифікацію. Це не теоретична загроза — у 2024 році кіберзлочинці в Європі використали вразливості SS7 для викрадення мільйонів євро з банківських рахунків, перехоплюючи коди підтвердження з SMS.

Протокол SS7 передає повідомлення відкритим текстом усередині мережі, що робить їх вразливими до перехоплення. Зловмисники можуть отримати доступ до кодів двофакторної автентифікації, читати приватні повідомлення, відстежувати переміщення користувачів та здійснювати шахрайські операції. У грудні 2024 року Агентство кібербезпеки США (CISA) офіційно попередило громадян уникати незашифрованих SMS-повідомлень, особливо для конфіденційних комунікацій. Це вже не рекомендація, а офіційне попередження урядової структури.

Державне спостереження та “скати”

Уряди по всьому світу мають доступ до пристроїв IMSI-catcher, відомих як “скати”, які імітують вишки стільникового зв’язку. Розміщені поблизу вашого місцезнаходження, вони обманом змушують телефон підключитися до них замість справжньої вишки. Після цього пристрій може відстежувати переміщення та перехоплювати SMS так само, як це робить мобільний оператор.

За даними Едварда Сноудена, оприлюдненими у 2014 році, АНБ США збирало понад 200 мільйонів текстових повідомлень на день з усього світу. З тих пір технології спостереження лише вдосконалилися. Сучасні системи можуть автоматично аналізувати зміст повідомлень, шукати ключові слова та встановлювати зв’язки між людьми.

Як викрадають номери телефонів

Шахраї можуть викрасти ваш номер телефону, просто зателефонувавши мобільному оператору або відвідавши магазин і видавши себе за вас. Якщо у зловмисника достатньо персональних даних — а в епоху витоків інформації їх неважко зібрати з соцмереж та злитих баз даних — він може обдурити представників служби підтримки та отримати контроль над вашим номером.

Схема виглядає так: зловмисник збирає дані про жертву з соціальних мереж та витоків даних, потім зв’язується з оператором, видаючи себе за власника номера, та просить перенести номер або випустити нову SIM-карту. Після цього він отримує доступ до всіх SMS з кодами двофакторної автентифікації та може зайти у банківські та інші акаунти. Єдиний спосіб захисту — звернутися до свого оператора та активувати додаткові PIN-коди та функції безпеки проти SIM-свопінгу.

RCS: революція, яка все ще не настала

Rich Communication Services (RCS) — це сучасний стандарт, який має замінити SMS. Протягом 2025 року відбулися важливі зміни в безпеці RCS, але говорити про повноцінну революцію ще зарано.

У березні 2025 року GSMA офіційно оголосила про підтримку наскрізного шифрування для RCS на основі протоколу Messaging Layer Security (MLS) у рамках RCS Universal Profile 3.0. За словами технічного директора GSMA Тома Ван Пелта, це робить RCS першим великомасштабним сервісом обміну повідомленнями з міжплатформенним наскрізним шифруванням між різними клієнтами.

На Android ситуація виглядає краще. Google Messages має наскрізне шифрування для спілкування між пристроями Android ще з 2020 року, використовуючи протокол Signal для захисту. Понад 1,5 мільярда користувачів щомісяця вже користуються безпечним RCS на Android. Проте коли справа доходить до спілкування з iPhone, все стає складніше.

Apple додала підтримку RCS у iOS 18 у вересні 2024 року, але поки що без наскрізного шифрування між iPhone та Android. Компанія підтвердила, що додасть E2EE у майбутньому оновленні — очікується, що це станеться в iOS 26.2. До того часу повідомлення RCS між iPhone та Android не мають наскрізного шифрування. Вони захищені лише під час передачі, що означає можливість доступу з серверів Google.

Якщо у вас iPhone і ви спілкуєтеся з іншим власником iPhone через iMessage, ваші повідомлення захищені наскрізним шифруванням та надсилаються через сервери Apple. Ви впізнаєте iMessage за синіми бульбашками повідомлень. Зелені бульбашки означають, що використовується незахищений SMS або RCS без шифрування. Фахівці з безпеки рекомендують у налаштуваннях iPhone вимкнути опцію “Надсилати як SMS”, щоб уникнути випадкового надсилання незашифрованих повідомлень.

Що використовувати замість SMS

Єдиний надійний спосіб захистити свої повідомлення — це використання перевірених месенджерів з наскрізним шифруванням. Signal залишається золотим стандартом безпеки. Цей месенджер має повністю відкритий вихідний код, наскрізне шифрування за замовчуванням та мінімальний збір метаданих. Функція “Sealed Sender” приховує навіть метадані, роблячи неможливим відстеження того, хто з ким спілкується. Signal керується некомерційною організацією Signal Foundation, фінансується донатами та не збирає дані для реклами. Станом на 2025 рік Signal налічує 40 мільйонів користувачів.

Проте у лютому 2025 року російські хакери намагалися атакувати користувачів Signal через фальшиві QR-коди для підключення пристроїв. Зловмисники використовували функцію “пов’язані пристрої”, яка дозволяє користуватися Signal на кількох пристроях після сканування QR-коду. CISA попереджає уникати сканування QR-кодів від невідомих джерел та завжди перевіряти автентичність запитів на підключення нових пристроїв.

WhatsApp пропонує баланс між безпекою та популярністю. Месенджер має наскрізне шифрування за замовчуванням для всіх чатів, використовує той самий протокол Signal та налічує 3 мільярди користувачів. Проте WhatsApp належить Meta (раніше Facebook), що викликає певні побоювання. Компанія збирає метадані — інформацію про те, коли ви спілкуєтеся, з ким та як довго. Резервні копії в Google Drive або iCloud не захищені наскрізним шифруванням, а скандал з політикою конфіденційності 2021 року призвів до масового відтоку користувачів до Signal та Telegram.

Telegram часто згадують як безпечну альтернативу, але це питання потребує уваги до деталей. У березні 2025 року Telegram досяг позначки в 1 мільярд користувачів. Месенджер дійсно пропонує чудові функції для груп та каналів, хмарну синхронізацію між пристроями та можливість використання без номера телефону через юзернейми. Проте є критичний нюанс: наскрізне шифрування працює тільки у “Секретних чатах“, які потрібно вмикати вручну. Звичайні чати не мають наскрізного шифрування — Telegram може теоретично отримати доступ до повідомлень, оскільки зберігає їх на своїх серверах. Власний протокол MTProto не є відкритим кодом, що викликає скептицизм у фахівців з безпеки. Telegram підходить для публічних спільнот та великих груп, але не для конфіденційних розмов.

Проблема двофакторної автентифікації через SMS

Експерти з безпеки настійно рекомендують не використовувати SMS для двофакторної автентифікації важливих акаунтів. Найкращий варіант — це фізичні ключі безпеки на кшталт YubiKey або Google Titan, а також застосунки-автентифікатори типу Google Authenticator, Authy, Proton Authenticator або Microsoft Authenticator. Прийнятною альтернативою можуть бути push-повідомлення від офіційних застосунків або коди безпосередньо в застосунку банку чи сервісу.

SMS-коди вразливі як до атак через SS7, так і до SIM-свопінгу. Проте якщо SMS — єдиний доступний варіант, це все одно краще, ніж взагалі без двофакторної автентифікації. Але для критично важливих акаунтів — банків, електронної пошти, криптовалютних гаманців — необхідно використовувати сильніші методи захисту.

Перспективи: що зміниться найближчим часом

RCS Universal Profile 3.0 з наскрізним шифруванням вже затверджений у березні 2025 року. Apple обіцяє додати E2EE для RCS у iOS 26.2, а Google вже впроваджує міжплатформенне шифрування у тестовому режимі. GSMA заявляє, що RCS стане першим масовим сервісом з міжплатформенним наскрізним шифруванням між різними постачальниками.

Проте реалістично оцінюючи ситуацію, SS7 нікуди не зникне — цей протокол 1970-х років досі використовується глобально. Нові вразливості з’являються регулярно, а 0-day експлойти продаються на чорних форумах. Навіть після впровадження наскрізного шифрування в RCS старі пристрої залишаться вразливими. Оператори не поспішають впроваджувати додаткові захисні механізми, бо це коштує дорого.

Очікується, що протягом 2026-2027 років відбудеться поступове впровадження наскрізного шифрування в RCS між iOS та Android. Після 2028 року більшість нових пристроїв матимуть безпечний RCS за замовчуванням. Але SMS залишиться запасним варіантом ще принаймні десятиліття, а вразливості SS7 будуть актуальними до повного переходу на 5G Standalone.

Практичні поради для українських користувачів

Для особистого спілкування варто використовувати Signal для конфіденційних розмов, а WhatsApp підійде для щоденного спілкування з родиною. Головне правило — уникати SMS для будь-якої чутливої інформації.

У бізнес-комунікаціях важливо ніколи не надсилати конфіденційні дані через SMS. Краще використовувати корпоративні месенджери з наскрізним шифруванням та впровадити чітку політику заборони SMS для робочих даних.

Для двофакторної автентифікації необхідно налаштувати застосунки-автентифікатори, використовувати фізичні ключі безпеки для банківських акаунтів та активувати додаткові PIN у мобільного оператора проти SIM-свопінгу.

Військові, журналісти та активісти повинні використовувати виключно Signal для будь-яких конфіденційних комунікацій. На iPhone варто увімкнути Режим карантину, якщо він доступний. Також необхідно розглянути використання VPN для додаткового захисту та регулярно перевіряти пристрої на наявність шпигунського програмного забезпечення.

Висновок

У 2026 році SMS залишається небезпечним пережитком минулого. Вразливості SS7, атаки SIM-свопінгу, державне спостереження та доступ операторів роблять текстові повідомлення непридатними для конфіденційного спілкування. RCS обіцяє виправити ситуацію з впровадженням наскрізного шифрування, але повний перехід займе роки. Поки що єдиний надійний спосіб захистити свої повідомлення — це використання перевірених месенджерів з наскрізним шифруванням.

Якщо ви бачите зелені бульбашки у спілкуванні між Android та iPhone або надсилаєте звичайні SMS, ваші повідомлення не захищені. У сучасному світі це неприйнятний ризик для будь-якої конфіденційної інформації.

Для допомоги українським користувачам: у разі кіберінцидентів можна звертатися до Кіберполіції України або до CERT-UA за адресою [email protected]. Державна служба спеціального зв’язку також приймає повідомлення про інциденти безпеки. Signal доступний в Україні без обмежень, а Telegram, хоч і популярний, варто використовувати виключно з увімкненими Secret Chats для конфіденційних розмов.

Ваша цифрова безпека починається з усвідомленого вибору інструментів для спілкування. Не варто довіряти захист ваших особистих даних технологіям 1970-х років у світі, де кібербезпека стає питанням національної важливості.