Ви можете подумати, що перемикання з Facebook Messenger до старомодних текстових повідомлень допоможе захистити вашу конфіденційність. Але стандартні текстові повідомлення SMS не є дуже приватними або безпечними. SMS схожий факс - Старий, застарілий стандарт, який відмовляється піти.
Ваш стільниковий носій може бачити ваші SMS-повідомлення
З SMS, повідомлення, які ви надсилаєте, не закінчуються зашифровані. Ваш мобільний постачальник може бачити вміст повідомлень, які ви надсилаєте та отримувати. Ці повідомлення зберігаються на системах стільникового провайдера-так, замість технічної компанії, як Facebook, бачачи ваші повідомлення, ваш мобільний постачальник може бачити ваші повідомлення.
Стільникові носії зберігають вміст цих повідомлень Різні обсяги часу . Повідомлення часто зберігаються лише кілька днів, але вони зберігають метадані (який номер надіслав повідомлення, до якого номера, і в який час) навіть довше. Ці записи можуть бути підляганці підпунції в судових справах, наприклад, записи текстових повідомлень є загальною формою доказів у випадках розлучення.
Порівняйте це з кінцевою до кінця зашифрованого чату, як Сигнал . Сигнал не має вмісту ваших комунікацій. Сигнал навіть не знає, з ким ви розмовляєте. Ваші дані бесіди зберігаються лише на вашому пристрої та пристрій людини, з якою ви говорите, - це це.
Це в сторону, якщо ви довіряєте вашому мобільному постачальнику своїми розмовами? Ну, назад у 2019 році, AT & amp; t, sprint, а t-mobile були виявлені Продаж даних про місцезнаходження клієнтів до агрегаторів. Це було використано всім від Buildsmen Bondsmen до мисливців з головоломки. (Після того, як це було повідомлено в новинах, стільникові носії обіцяли зупинити.)
Ви хочете, щоб ті компанії бачити весь вміст ваших особистих розмов?
Пов'язані: Чи може хто-небудь відстежувати точне місце розташування мого телефону?
SMS-повідомлення можуть бути перехоплені злочинцями
Але SMS-повідомлення використовуються для безпеки, так? Існує причина, що кожен банк та фінансова установа спирається на SMS-повідомлення, щоб підтвердити свою особу-праворуч?
Ну, так, є причина. Але ця причина не через безпеку. Це просто, що у кожного є номер телефону. Потрібно підтвердження за допомогою SMS додає додаткову безпеку. Навіть якщо SMS не є особливо безпечним, він, принаймні, гарантує, що зловмисник повинен перехопити SMS-повідомлення на додаток до введення вашого пароля.
SMS-повідомлення можуть бути перехоплені. Мобільні мережі телефону по всьому світу пов'язані один з одним через систему сигналізації № 7 (SS7) протоколу. Ось як ваш телефон може підключитися до стільникової мережі та зробити та отримувати дзвінки, навіть якщо ви знаходитесь в іншій країні з іншого боку світу.
Система SS7 була неодноразово нападають хакерів які піднялися на SMS-повідомлення або перехопили їх. Це особливо корисно, коли компромісні банківські рахунки, наприклад, зловмисники можуть Snoop на коди верифікації, які, як правило, надсилаються через SMS, використовуйте їх для доступу до банківських рахунків, а також злити їх.
Ось чому професіонали безпеки Рекомендується з використанням SMS для двофакторної аутентифікації . Додаток, що генерує коди на вашому пристрої або фізичний ключ безпеки набагато більш куленепробивний. (Однак, якщо SMS є єдиним варіантом, який ви маєте, SMS краще, ніж нічого .)
SMS-повідомлення можна контролювати владою
Уряди у всьому світі мають доступ до " скіп "Прилади, які, по суті, позбавляють стільникової вежі. При розміщенні поблизу вашого фізичного розташування, ці натискання вашого телефону в підключення до них (як ваш телефон підключиться до звичайної стільникової вежі). Пристрій STINTRAY може відстежувати ваші рухи та переглянути ваші текстові повідомлення SMS-так само, як і ваш клітинний носій.
За межами місцевого моніторингу SMS-повідомлення також можуть бути збільшені у великих системах спостереження. Згідно з документи, випущені Сноуден назад в 2014 році АНБ було, в той час, збираючи понад 200 мільйонів текстових повідомлень в день зі всієї земної кулі.
спецслужби інших країн також мають доступ до скатам і SMS-моніторингу технології, так що зрозуміло, чому Зашифровані додатки зв'язку, як сигнал і телеграми Особливою популярністю серед активістів, які живуть в умовах репресивних режимів. Наприклад, телеграма і сигнал заборонені в Ірані .
Пов'язані: Сигнал проти телеграми: який є найкращим чатом програми?
Ваш номер телефону дивно легко Hijack
Крім SMS, номери телефонів насправді мають дуже погану захищеність на рівні носія. Донощик може викликати ваш стільниковий носій або піти в магазин і видавати себе за вас. Якщо донощик має досить деталей і може обдурити представник служби підтримки клієнтів свого оператора, вони можуть отримати контроль над вашим номером телефону. Вони можуть мати «порт з» несе вашого номера телефону на інший стільниковий оператор-так само, як ви могли б зробити, якщо ви переходили до іншого стільниковому провайдеру. Або вони можуть мати це питання CARRIER нової SIM-карту, прив'язану до вашого номера телефону і відключити існуючу SIM-карту, прибравши доступ до вашого номера телефону.
Наразі зловмисник матиме свій номер телефону. При тому, що вони можуть отримати доступ до облікових записів, що захищаються двофакторної аутентифікації SMS на основі. Для окремого шахрая, обманюючи людей обслуговування клієнтів простіше, ніж злом SS7, в кінці кінців. це називається «Порт-аут афера» або «SIM заміна атаки.»
Ви часто можете захистити свій номер телефону, додавши додаткові ПІНи і функції безпеки з вашим мобільним провайдером. Перевірте з вашим мобільним провайдером, щоб побачити, які функції безпеки, які вони пропонують захист від портових з афер.
Це сталося досить багато людей, досить того, що ФКС і Better Business Bureau згасити рекомендаційні попередження про цю аферу.
Пов'язані: Злочинці можуть вкрасти ваш номер телефону. Ось як зупинити їх
Шеззаде і RCS: краще, ніж SMS?
Додаток Повідомлення на iPhone підтримує SMS і Apple, власний служба Шеззаде . На Android, все більше і більше Android телефонів отримання підтримки для більш сучасних Rich Communication Services (RCS) стандарт . Обидва призначені мовчки «оновити» текстові повідомлення розмов на більш сучасні, безпечні з них, коли обидва люди використовують пристрій, які підтримують їх. Так як вони співвідносяться з SMS?
Apple, IMessage скарбничка-спина на SMS в сенсі, використовуючи телефонні номери в якості ідентифікаторів. Якщо ви і людина, якій ви хочете тексти є iPhone'ов і дозволили Шеззаде, будь-який текст, ви посилаєте буде посланий як Шеззаде замість цього. Вони впритул зашифровані та надіслані через сервери Apple. Ви будете знати, Шеззаде використовується, тому що повідомлення будуть мати блакитні бульбашки . Якщо ви бачите зелені бульбашки замість того, додаток використовує повідомлення SMS замість-бо, що ви повідомлення хтось без Шеззад, ймовірно людей, який є Android користувача.
RCS стандарт штовханням для Android користувачів, думати про це як еквівалент Google / Android на Шеззаде-не підтримують шифрування Apple, з кінця в кінець за станом на січень 2021 Станом на листопад 2020 року, Google був працює над додаванням шифрування кінця в кінець, щоб RCS . Це означає, що навіть з цієї фантазією новою системою RCS на вашому телефоні, ваш стільниковий оператор все ще може бачити вміст повідомлень, що відправляються, так само, як з SMS.
Проблеми з SMS, Скорочена
Давайте швидко підсумувати проблеми з SMS, і порівняти його з безпечним, з кінця в кінець зашифрованого чату додатки, як сигнал.
За допомогою SMS:
- Ваш стільниковий оператор може бачити вміст повідомлень, які ви посилаєте і отримуєте. Всі зібрані записи можуть бути викликані в суд в ході судового розгляду.
- SMS-повідомлення можуть бути перехоплені зловмисниками через слабкість в похилений старий протокол, який живить їх. Це ставить фінансові та інші рахунки в небезпеці.
- Влада може розгорнути скат шпигувати на вміст текстових повідомлень в області.
- Шахраї можуть спробувати вкрасти ваш номер мобільного телефону, обманюючи співробітник відділу обслуговування клієнтів вашого стільникового провайдера.
З сигналом, наприклад:
- Ваш стільниковий носій не бачить вмісту ваших повідомлень. Не навіть сигнал не може бачити вміст ваших повідомлень або кого ви звертаєтеся, що залишається секретом. Сигнал не збирає ці дані. Якщо вимушено підпохову, сигнал може майже нічого не про ваше використання служби.
- Сигнальні повідомлення не можуть реально викрасти хакерів. Їм доведеться компромісувати Протокол шифрування сигналу , які експерти безпеки вважають відмінним. (На відміну від цього, SS7 неодноразово порушено.)
- Stingrays не може бачити ваші розмови. Влада не може підсмажити вміст сигнальних повідомлень, не отримуючи їх руки на телефоні, який містить їх. Все, що вони можуть бачити, - це зашифрований трафік, який відправляється назад і вперед, щоб сигналізувати сервери.
- Афера, яка фіксує ваш номер телефону, не надасть доступу до вашого облікового запису сигналу. Ви можете захистити свій обліковий запис сигналу Шпилька , тому шахрай не може просто отримати доступ до свого облікового запису сигналу. Навіть якщо шахрайство може якось вгадати ваш PIN-код та отримати доступ до свого облікового запису сигналу, ваші сигнальні повідомлення зберігаються на вашому телефоні, і не будуть синхронізовані до будь-яких нових пристроїв, які отримують доступ до вашого облікового запису.
Замість цього потрібно використовувати
Ми використовували сигнал, як приклад тут, як контраст так сильний Сигнал є найбільш широко рекомендованим приватним додатком чату, з завжди до кінцевого шифрування .
Якщо у вас є iPhone, спілкуючись з iMessage набагато приватним та безпечним, ніж за допомогою звичайних старих SMS. Сподіваємось, користувачі Android один день матимуть захищені зашифровані повідомлення, вбудовані в їх пристрої після вдосконалення до RCS. На жаль, imessage та RCS несумісні один з одним, тому iPhones та Android телефони доведеться спілкуватися над SMS-або перемикач до різних чат додатків, які не вбудовані.
Інші програми чату також є варіантом. Телеграма Популярна, хоча це не використовує кінцеве шифрування за умовчанням. WhatsApp принаймні використовує кінцеве шифрування за замовчуванням, на відміну від Facebook Messenger, якщо ви довіряєте програмі Facebook, що керує чатом. Але навіть Facebook Messenger є надзвичайно безпечним, ніж SMS-ви довіряєте Facebook з вашими повідомленнями, але, принаймні, вам не доведеться турбуватися про проблеми у старовинному, Creaky старий протокол SS7.
Для двофакторної безпеки, найкраще уникнути SMS для дійсно критичних завдань. На жаль, деякі послуги повернуться до SMS-аутентифікації у будь-якому випадку - для зручності. Іноді є альтернативи. Наприклад, Google пропонує розширений захист Для журналістів, активістів, лідерів бізнесу та політиків, які потребують максимальної безпеки для своїх рахунків, і це вимагає використання a Фізичний ключ безпеки . Така сказана, двофакторна безпека SMS, яка все ще краще, ніж нічого.
Пов'язані: Що таке сигнал, і чому кожен використовує його?
Майбутнє SMS: чи буде це бути виправлено?
SMS просто застаріла технологія. Це явно не було побудовано з приватністю та безпекою, і ці проектні рішення все ще є сьогодні.
Сподіваємось, це буде зафіксовано в майбутньому. Якщо RCS стає більш зрілим, отримує шифрування кінцевого до кінця, і доступний у всіх телефонах Android, то все Apple потрібно було б зробити, це погодитися, щоб зробити RCS, сумісний з iMessage певним чином. Тоді всі сучасні смартфони мали б безпечні обміну повідомленнями, що не залежить від вбудованих древніх протоколів.
На даний момент, це краще уникати текстових повідомлень, якщо ви стурбовані вашого особистого життя або безпеки ваших рахунків.
Пов'язані: Сигнал проти телеграми: який є найкращим чатом програми?
