Je zou kunnen denken dat het overschakelen van Facebook Messenger naar ouderwetse sms-berichten zou helpen om je privacy te beschermen. Maar standaard SMS-sms-berichten zijn niet erg privé of veilig. SMS is als fax -An oude, verouderde standaard die weigert weg te gaan.
Uw mobiele carrier kan uw sms-berichten zien
Met sms, zijn berichten die u verzendt niet end-to-end gecodeerd. Uw mobiele provider kan de inhoud van berichten die u verzendt en ontvangt. Die berichten worden opgeslagen op de systemen van uw cellulaire provider - dus, in plaats van een technisch bedrijf zoals Facebook, kan uw mobiele provider uw berichten zien.
Cellulaire vervoerders slaan de inhoud van die berichten op verschillende hoeveelheden tijd . Berichten worden vaak slechts enkele dagen behouden, maar ze slaan metadata op (welk nummer stuurde een bericht naar welk nummer, en op welk moment) zelfs langer. Deze records kunnen onderworpen aan subpoena in juridische procedures, bijvoorbeeld, tekstberichtrecords zijn een veel voorkomende vorm van bewijs in echtscheidingsgevallen.
Vergelijk dit met een end-to-end gecodeerde chat-app zoals Signaal . Signaal heeft geen inhoud van uw communicatie. Signaal weet niet eens met wie je praat. Uw gespreksgegevens worden alleen op uw apparaat opgeslagen en het apparaat van de persoon met wie u praat, dat is het.
Dat opzij, als u uw mobiele provider met uw gesprekken moet vertrouwen? Nou, terug in 2019, AT & AMP; T, Sprint en T-Mobile werden allemaal geopenbaard Verkoop van klantlocatiegegevens aan aggregators. Het werd gebruikt door iedereen van Bail Bondsleden tot Rogue Bounty Hunters. (Nadat dit in het nieuws werd gerapporteerd, beloofden de cellulaire dragers te stoppen.)
Wilt u die bedrijven alle inhoud van uw persoonlijke gesprekken zien?
VERWANT: Kan iemand de precieze locatie van mijn telefoon volgen?
SMS-berichten kunnen worden onderschept door criminelen
Maar SMS-berichten worden gebruikt voor beveiliging, toch? Er is een reden waarom elke bank- en financiële instelling op sms-berichten vertrouwt om uw identiteit-toch te verifiëren?
Nou ja, ja, er is een reden. Maar die reden is niet vanwege de veiligheid. Het is gewoon dat iedereen een telefoonnummer heeft. Bevestiging vereisen via sms Voegt wat extra beveiliging toe. Zelfs als SMS niet bijzonder veilig is, zorgt het tenminste ervoor dat een aanvaller een SMS-bericht moet onderscheppen in aanvulling op het typen in uw wachtwoord.
SMS-berichten kunnen worden onderschept. Mobiele telefoonnetwerken over de hele wereld zijn met elkaar verbonden via het signaalsysteem nr. 7 (SS7) -protocol. Dit is hoe uw telefoon verbinding kan maken met een cellulair netwerk en oproepen maken en ontvangen, zelfs als u in een ander land aan de andere kant van de wereld bent.
Het SS7-systeem is geweest herhaaldelijk aangevallen door hackers die op sms-berichten zijn geknipt of onderschept. Dit is met name handig bij het aantrekken van bankrekeningen, bijvoorbeeld - de aanvallers kunnen snoepen op de verificatcodes die over het algemeen via sms worden verzonden, ze gebruiken om toegang te krijgen tot bankrekeningen en deze afvoert.
Dit is de reden waarom beveiligingsprofessionals hebben Aanbevolen tegen het gebruik van SMS voor twee-factorauthenticatie . Een app die Genereert codes op uw apparaat of een fysieke beveiligingssleutel is veel meer kogelvrij. (Echter, als SMS de enige optie is die u beschikbaar hebt, SMS is beter dan niets .)
SMS-berichten kunnen worden gecontroleerd door autoriteiten
Regeringen over de hele wereld hebben toegang tot " stingrays , "Apparaten die in wezen een cellulaire toren imperseren. Wanneer geplaatst in de buurt van uw fysieke locatie, trakt deze truc uw telefoon in verbinding met hen (zoals uw telefoon verbinding zou maken met een normale cellulaire toren). Het Stingray-apparaat kan vervolgens uw bewegingen volgen en uw sms-sms-berichten bekijken - net zoals uw cellulaire drager kan.
Naast lokale monitoring, kunnen SMS-berichten ook worden geveegd in grotere bewakingssystemen. Volgens documenten vrijgegeven door Edward Snowden terug in 2014 De NSA was op het moment, het verzamelen van meer dan 200 miljoen sms-berichten per dag uit de hele wereld.
inlichtingendiensten van andere landen hebben ook toegang tot pijlstaartroggen en SMS monitoring van technologie, dus het is duidelijk waarom gecodeerde communicatie apps zoals Signal en Telegram zijn vooral populair onder activisten die leven onder repressieve regimes. Bijvoorbeeld Telegram en Signal zijn verboden in Iran .
VERWANT: Signaal versus Telegram: Welke is de beste chat-app?
Uw telefoonnummer is verrassend eenvoudig te Hijack
Beyond SMS, telefoonnummers eigenlijk zeer slechte beveiliging op de vervoerder niveau. Een oplichter kan uw mobiele carrier bellen of ga naar een winkel en imiteren je. Als de scammer heeft genoeg informatie en kan vertegenwoordigers van de klantendienst van uw provider truc, kunnen ze de controle over uw telefoonnummer te krijgen. Zij kunnen de vervoerder “port out” uw telefoonnummer hebben een verschillende cellulaire carrier-net zoals je zou doen als je overschakelt naar een andere mobiele provider. Of, kunnen zij de vervoerder kwestie een nieuwe SIM-kaart gekoppeld aan uw telefoonnummer en deactiveren uw bestaande SIM-kaart, het verwijderen van de toegang tot uw telefoonnummer.
Nu is de aanvaller uw telefoonnummer te hebben. Daarmee kunnen zij toegang krijgen tot accounts beschermd door SMS-gebaseerde twee-factor authenticatie te krijgen. Voor een individuele oplichter, tricking een klantenservice persoon is makkelijker dan het hacken SS7, na alles. Dit heet een “port-out scam” of “SIM-swapping aanval.”
Vaak kunt u de bescherming van uw telefoonnummer door het toevoegen van extra pinnen en beveiligingsfuncties met uw mobiele provider. Neem contact op met uw mobiele provider om te zien wat beveiligingsfuncties ze bieden om te beschermen tegen port-out oplichting.
Dit is gebeurd met heel wat mensen genoeg dat de FCC en Better Business Bureau hebben stak advisories waarschuwing over deze oplichterij.
VERWANT: Criminelen kunnen stelen uw telefoonnummer. Hier is hoe om ze te stoppen
iMessage en RCS: Better Than SMS?
De Berichten-app op de iPhone zowel SMS en Apple's eigen iMessage dienst . Op Android, meer en meer Android-telefoons zijn het verkrijgen van steun voor de meer moderne Rich Communication Services (RCS) standaard . Beide zijn ontworpen om in stilte “upgraden” SMS-bericht gesprekken naar meer moderne, veilige degenen wanneer beide mensen gebruiken apparaten die ze ondersteunen. Dus hoe ze te vergelijken met SMS?
Apple's iMessage piggy-backs op SMS in zekere zin, met behulp van telefoonnummers als id. Als zowel u als de persoon die je wilt tekst iPhones te hebben en hebben iMessage ingeschakeld, wordt de tekst die u stuurt worden verzonden als iMessage plaats. Deze zijn end-to-end versleuteld en verzonden via de servers van Apple. Je weet iMessage wordt gebruikt omdat de berichten blauwe belletjes . Als je ziet groene bellen in plaats daarvan, de berichten app is het gebruik van SMS in plaats-omdat je iemand messaging zonder iMessage, waarschijnlijk een persoon die een Android-gebruiker.
De RCS standaard wordt geduwd voor Android-gebruikers: denk aan het als de Google / Android gelijk aan Apple's iMessage-niet support end-to-end encryptie vanaf januari 2021. Met ingang van november 2020 was Google werken aan het toevoegen van end-to-end encryptie om RCS . Dat betekent dat, zelfs met dat mooie nieuwe RCS systeem op je Android-telefoon, uw mobiele drager kan nog steeds de inhoud van de berichten die u verstuurt, net als bij SMS.
De problemen met SMS, Samengevat
Laten we snel de problemen met SMS samen te vatten, en vergelijk het met een veilige, end-to-end versleutelde chat-app zoals Signal.
Met SMS:
- Uw cellulaire vervoerder kan de inhoud van de berichten die u wilt verzenden en ontvangen te zien. Alle verzamelde gegevens kunnen worden gedagvaard in een gerechtelijke procedure.
- SMS-berichten kunnen worden onderschept door hackers als gevolg van gebreken in de gammele oude protocol die de bevoegdheden van hen. Dit zet de financiële en andere accounts in gevaar.
- Autoriteiten kunnen pijlstaartroggen inzetten om snoop over de inhoud van SMS-berichten in een gebied.
- Oplichters kunnen proberen om je GSM-nummer te stelen door tricking uw mobiele provider customer service medewerkers.
Met Signal, bijvoorbeeld:
- Uw mobiele drager kan niet de inhoud van uw berichten te zien. Zelfs Signal kan de inhoud van uw berichten of met wie je in contact brengen van dat een geheim blijft zien. Signaal niet verzamelen van deze gegevens. Als gedwongen door de dagvaarding signaal kan onthullen bijna niets over uw gebruik van de dienst.
- Signal berichten kunnen realistisch gezien niet worden gekaapt door hackers. Ze zouden het compromis Signaalencryptie protocol , Die security experts beschouwen uitstekend. (In tegenstelling, SS7 is herhaaldelijk aangetast.)
- Stingrays kan niet uw gesprekken te zien. De autoriteiten kunnen niet snoop over de inhoud van Signal berichten, niet zonder dat hun handen op een telefoon die ze bevat. Het enige wat ze kunnen zien is versleuteld verkeer heen en weer gestuurd naar Signal-servers.
- Een port-out zwendel die vangt uw telefoonnummer zou geen toegang tot uw Signal rekening verstrekken. U kunt uw Signal account te beschermen met een PIN , Zodat een oplichter kan niet alleen toegang tot uw Signal account. Zelfs als de scammer uw pincode of andere manier kon raden en toegang tot uw Signal-account, worden uw Signal berichten die zijn opgeslagen op uw telefoon en zou niet worden gesynchroniseerd om nieuwe apparaten die toegang krijgen tot uw account.
Wat u zou moeten gebruiken in plaats
We gebruikten Signal als voorbeeld hier het contrast is zo stark- Signaal is de meest aanbevolen privé chat app, met always-on end-to-end encryptie .
Als je een iPhone, het communiceren met iMessage is veel meer prive en veilig dan het gebruik van gewone oude SMS. Hopelijk zal Android-gebruikers op een dag beveiligde end-to-end gecodeerde berichten ingebouwd in hun apparaten na verbeteringen worden aangebracht in RCS. Helaas, iMessage en RCS zijn niet compatibel met elkaar, zodat iPhones en Android-telefoons zal moeten communiceren via SMS-of switch naar verschillende chat-apps die niet zijn ingebouwd.
Andere chat-apps zijn een optie, ook. Telegram is populair, hoewel het niet end-to-end encryptie standaard gebruiken. WhatsApp op zijn minst gebruik end-to-end encryptie standaard, in tegenstelling tot Facebook Messenger-als je een Facebook-bediende chatapp vertrouwen. Maar zelfs Facebook Messenger is aantoonbaar veiliger dan SMS-je bent vertrouwen Facebook met uw berichten, maar in ieder geval je hoeft geen zorgen te maken over de problemen in de oude, krakende oude SS7 protocol.
Voor twee-factor beveiliging, is het best om SMS voor echt kritische taken te vermijden. Helaas zullen sommige diensten terugvallen op SMS authenticatie toch-voor het gemak. Soms zijn er alternatieven. Bijvoorbeeld, Google biedt Geavanceerde bescherming voor journalisten, activisten, bedrijfsleiders en politici die maximale beveiliging nodig hebben voor hun accounts, en het vereist het gebruik van een fysieke beveiligingssleutel . Dat gezegd hebbende, SMS-gebaseerde twee-factor beveiliging is nog altijd beter dan niets.
VERWANT: Wat is signaal, en waarom is iedereen die het gebruikt?
De toekomst van SMS: Zal het ooit worden vastgesteld?
SMS is gewoon verouderde technologie. Het was duidelijk niet gebouwd met privacy en veiligheid in het achterhoofd, en die ontwerpbeslissingen zijn nog steeds met het vandaag nog.
Hopelijk zal dit in de toekomst worden vastgesteld. Als RCS wordt meer volwassen, winsten end-to-end encryptie en is verkrijgbaar in alle Android-telefoons, nou ja, dan zijn alle Apple zou moeten doen is het eens RCS compatibel met iMessage op een bepaalde manier te maken. Dan zouden alle moderne smartphones beveiligd berichtenverkeer dat niet afhankelijk is van de oude protocollen hebben ingebouwd.
Voor nu, is het best om tekstberichten te vermijden als je bezorgd bent over uw privacy of de beveiliging van uw accounts.
VERWANT: Signaal versus Telegram: Welke is de beste chat-app?
