Почему SMS-сообщения не являются конфиденциальными и безопасными
Вы могли подумать, что переход с мессенджера на устаревшие СМС поможет защитить Вашу конфиденциальность. Но стандартные текстовые SMS-сообщения не являются конфиденциальными и безопасными. SMS — это как факс — старый, устаревший стандарт, который отказывается исчезать.
Ваш оператор сотовой связи может видеть Ваши SMS-сообщения
С помощью SMS отправляемые Вами сообщения не шифруются. Ваш оператор сотовой связи может видеть содержимое отправляемых и получаемых Вами сообщений. Эти сообщения хранятся в системах Вашего оператора сотовой связи.
Операторы сотовой связи хранят содержимое этих сообщений разный период времени. Сообщения часто хранятся только в течение нескольких дней, но они хранят метаданные (какой номер отправил сообщение, на какой номер и в какое время) еще дольше. Эти записи могут быть предметом повестки в суд в ходе судебного разбирательства.
Сравните это с приложением чата со сквозным шифрованием. Такие приложения не могут получить доступ к содержанию Ваших сообщений. Данные Вашего разговора хранятся только на Вашем устройстве и устройстве человека, с которым Вы ведете переписку.
Кроме того, стоит ли доверять свои разговоры оператору сотовой связи? Еще в 2019 году выяснилось, что AT&T, Sprint и T-Mobile продают данные о местоположении клиентов агрегаторам. Им пользовались все, вплоть до мошенников.
SMS-сообщения могут быть перехвачены злоумышленниками
Но SMS-сообщения используются для подтверждения различных действий. Есть причина, по которой каждый банк и финансовое учреждение полагается на SMS-сообщения для подтверждения Вашей личности?
На самом деле на то есть причина. Но причина не в безопасности. Просто у каждого есть номер телефона. Требование подтверждения по SMS добавляет дополнительную безопасность. Даже если SMS не безопасно, это, по крайней мере, гарантирует, что злоумышленник должен перехватить SMS-сообщение в дополнение к вводу Вашего пароля.
SMS-сообщения могут быть перехвачены. Сети мобильных телефонов по всему миру связаны друг с другом посредством протокола Системы сигнализации № 7 (SS7). Таким образом Ваш телефон может подключаться к сотовой сети, а также совершать и принимать звонки, даже если Вы находитесь в другой стране на другом конце света.
Система SS7 неоднократно подвергалась атакам со стороны хакеров, которые отслеживали или перехватывали SMS-сообщения. Это особенно полезно, например, при взломе банковских счетов — злоумышленники могут отслеживать коды подтверждения, которые обычно отправляются через SMS, использовать их для доступа к банковским счетам и похищать с них деньги.
Вот почему специалисты по безопасности не рекомендуют использовать SMS для двухфакторной аутентификации. Приложение, которое генерирует коды на Вашем устройстве или физический ключ безопасности гораздо надежнее. Однако, если SMS — это единственный доступный вариант, то это лучше, чем ничего.
SMS-сообщения могут контролироваться властями
Правительства всего мира имеют доступ к устройствам, которые по сути имитируют сотовую вышку. При размещении рядом с Вашим физическим местоположением они обманом заставляют Ваш телефон подключиться к ним (как Ваш телефон подключается к обычной сотовой вышке). Затем это устройство сможет отслеживать Ваши передвижения и просматривать SMS-сообщения — точно так же, как Ваш оператор сотовой связи.
Помимо локального мониторинга, SMS-сообщения также могут передаваться в более крупные системы наблюдения. Согласно документам, опубликованным Эдвардом Сноуденом еще в 2014 году, в то время АНБ собирало более 200 миллионов СМС в день со всего мира.
Спецслужбы других стран также имеют доступ технологиям SMS-мониторинга, поэтому ясно, почему приложения для зашифрованной связи, такие как Telegram, особенно популярны среди активистов, живущих в условиях репрессивных режимов. Например, в Иране запрещены Telegram и Signal.
Ваш номер телефона на удивление легко взломать
Помимо SMS, у телефонных номеров очень плохая защита — на уровне оператора связи. Мошенник может позвонить Вашему оператору сотовой связи или пойти в магазин и выдать себя за Вас. Если у мошенника достаточно данных и он может обмануть представителей службы поддержки Вашего оператора, они смогут получить контроль над Вашим номером телефона. Злоумышленник может попросить оператора «перенести» Ваш номер телефона на другого оператора сотовой связи — точно так же, как если бы Вы переходили на другого оператора сотовой связи. Или они могут попросить оператора связи выдать новую SIM-карту, привязанную к Вашему номеру телефона, и деактивировать Вашу существующую SIM-карту, лишив доступа к Вашему номеру телефона.
Теперь у злоумышленника будет Ваш номер телефона. При этом они могут получить доступ к учетным записям, защищенным двухфакторной аутентификацией на основе SMS. В конце концов, для отдельного мошенника обмануть сотрудника службы поддержки проще, чем взломать SS7.
Часто Вы можете защитить свой номер телефона, добавив дополнительные PIN-коды и функции безопасности у Вашего оператора сотовой связи. Узнайте у своего оператора сотовой связи, какие функции безопасности они предлагают для защиты от такого мошенничества.
iMessage и RCS: лучше, чем SMS?
Приложение для сообщений на iPhone поддерживает как SMS, так и собственную службу iMessage от Apple. На Android все больше и больше телефонов получают поддержку более современного стандарта Rich Communication Services (RCS). Оба предназначены для незаметного «обновления» СМС до более современных и безопасных, когда оба человека используют устройства, которые их поддерживают. Так их отличие от SMS?
iMessage от Apple в некотором смысле использует SMS, используя телефонные номера в качестве идентификаторов. Если и у Вас, и у человека, которому Вы хотите отправить сообщение, есть iPhone и включен iMessage, любой отправляемый Вами текст будет отправлен как iMessage. Они зашифровываются и отправляются через серверы Apple. Вы узнаете, что iMessage используется, потому что сообщения будут иметь голубой цвет. Если вместо этого Вы видите зеленый цвет, приложение «Сообщения» использует SMS, потому что Вы отправляете сообщение кому-то без iMessage, вероятно, человеку, который является пользователем Android.
Стандарт RCS можно считать аналогом iMessage от Google, который по состоянию на январь 2021 года не поддерживал сквозное шифрование, хотя в ноябре 2020 года Google работал над добавлением сквозного шифрования в RCS. Это означает, что даже с этой модной новой системой RCS на Вашем телефоне Android Ваш оператор сотовой связи может видеть содержимое отправляемых Вами сообщений, как и в случае с SMS.
Что следует использовать
Если у Вас есть iPhone, общение с iMessage намного конфиденциальнее и безопаснее, чем использование старых простых SMS. Будем надеяться, что однажды пользователи Android будут иметь встроенные в свои устройства защищенные сообщения с сквозным шифрованием после внесения улучшений в RCS. К сожалению, iMessage и RCS несовместимы друг с другом, поэтому iPhone и телефоны Android должны будут общаться по SMS или переключаться на разные приложения для чата, которые не встроены в системы.
Также можно использовать другие приложения для чата. Telegram популярен, хотя по умолчанию он не использует сквозное шифрование. WhatsApp использует сквозное шифрование по умолчанию, в отличие от Facebook Messenger, если Вы доверяете чат-приложению, управляемому Facebook. Но даже Facebook Messenger, возможно, более безопасен, чем SMS — Вы доверяете Facebook свои сообщения, но, по крайней мере, Вам не нужно беспокоиться о проблемах в древнем протоколе SS7.
Для двухфакторной безопасности лучше избегать SMS для действительно важных задач. К сожалению, для удобства некоторые службы все равно будут использовать SMS-аутентификацию. Иногда есть альтернативы. Например, Google предлагает расширенную защиту для журналистов, активистов, руководителей бизнеса и политиков, которым требуется максимальная безопасность своих учетных записей, и для этого требуется использование физического ключа безопасности. Тем не менее, двухфакторная безопасность на основе SMS все же лучше, чем ничего.
Будущее SMS: будет ли это когда-нибудь исправлено
СМС — это просто устаревшая технология. Она явно не создавался с учетом требований конфиденциальности и безопасности.
Надеемся, это будет исправлено в будущем. Если RCS получит сквозное шифрование и станет доступным на всех телефонах Android — что ж, тогда все, что нужно будет сделать Apple, — это каким-то образом согласиться сделать RCS совместимым с iMessage. Тогда все современные смартфоны будут иметь безопасный обмен сообщениями, который не зависит от встроенных древних протоколов.
На данный момент лучше избегать СМС, если Вы беспокоитесь о своей конфиденциальности или безопасности своих аккаунтов.
