ImYanis / Shutterstock.com
Potresti pensare che il passaggio da Facebook Messenger a messaggi di testo vecchio stile aiuti a proteggere la tua privacy. Ma i messaggi di testo SMS standard non sono molto privati o sicuri. Gli SMS sono come i fax: uno standard vecchio e obsoleto che si rifiuta di scomparire.
Il tuo operatore di telefonia mobile può vedere i tuoi messaggi SMS
Con gli SMS, i messaggi che invii non sono crittografati end-to-end. Il tuo provider di telefonia mobile può vedere il contenuto dei messaggi che invii e ricevi. Questi messaggi sono archiviati sui sistemi del tuo provider di telefonia mobile, quindi, invece di un’azienda tecnologica come Facebook che vede i tuoi messaggi, il tuo provider di telefonia mobile può vedere i tuoi messaggi.
I gestori di telefonia mobile memorizzano il contenuto di quei messaggi per varie quantità di tempo. I messaggi vengono spesso conservati solo per diversi giorni, ma memorizzano i metadati (quale numero ha inviato un messaggio a quale numero ea che ora) ancora più a lungo. Questi record potrebbero essere soggetti a citazione in giudizio in procedimenti legali: ad esempio, i record di messaggi di testo sono una forma comune di prova nei casi di divorzio.
Confronta questo con un’app di chat crittografata end-to-end come Segnale. Signal non ha il contenuto delle tue comunicazioni. Signal non sa nemmeno con chi stai parlando. I dati delle tue conversazioni vengono memorizzati solo sul tuo dispositivo e sul dispositivo della persona con cui stai parlando: tutto qui.
A parte questo, dovresti fidarti del tuo provider di telefonia mobile con le tue conversazioni? Bene, nel 2019, AT&T, Sprint e T-Mobile si sono rivelati tutti vendendo dati sulla posizione dei clienti agli aggregatori. Era usato da tutti, dai garanti della cauzione ai cacciatori di taglie disonesti. (Dopo che questo è stato riportato nelle notizie, i vettori cellulari hanno promesso di smettere.)
Vuoi che quelle aziende vedano tutti i contenuti delle tue conversazioni personali?
RELAZIONATO: Qualcuno può davvero tracciare la posizione precisa del mio telefono?
I messaggi SMS possono essere intercettati dai criminali
SERDTHONGCHAI / Shutterstock.com
Ma i messaggi SMS sono usati per sicurezza, giusto? C’è un motivo per cui ogni banca e istituto finanziario si affida ai messaggi SMS per verificare la tua identità, giusto?
Ebbene sì, c’è una ragione. Ma questo motivo non è dovuto alla sicurezza. È solo che tutti hanno un numero di telefono. La richiesta di conferma tramite SMS aggiunge ulteriore sicurezza. Anche se l’SMS non è particolarmente sicuro, garantisce almeno che un utente malintenzionato debba intercettare un messaggio SMS oltre a digitare la password.
I messaggi SMS possono essere intercettati. Le reti di telefonia mobile in tutto il mondo sono collegate tra loro tramite il protocollo Signaling System No 7 (SS7). È così che il tuo telefono può connettersi a una rete cellulare ed effettuare e ricevere chiamate, anche quando ti trovi in un altro paese dall’altra parte del mondo.
Il sistema SS7 è stato ripetutamente attaccati da hacker che hanno curiosato nei messaggi SMS o li hanno intercettati. Ciò è particolarmente utile, ad esempio, quando si compromettono i conti bancari: gli aggressori possono spiare i codici di verifica generalmente inviati tramite SMS, utilizzarli per accedere ai conti bancari e prosciugarli.
Questo è il motivo per cui i professionisti della sicurezza hanno sconsigliato l’uso di SMS per l’autenticazione a due fattori. Un’app che genera codici sul tuo dispositivo o una chiave di sicurezza fisica è molto più a prova di proiettile. (Tuttavia, se l’SMS è l’unica opzione disponibile, SMS è meglio di niente.)
I messaggi SMS possono essere monitorati dalle autorità
I governi di tutto il mondo hanno accesso a “razze, “Dispositivi che essenzialmente impersonano una torre cellulare. Quando sono posizionati vicino alla tua posizione fisica, questi inducono il tuo telefono a connettersi a loro (come il tuo telefono si connetterebbe a una normale torre cellulare). Il dispositivo Stingray può quindi monitorare i tuoi movimenti e vedere i tuoi messaggi di testo SMS, proprio come può fare il tuo operatore di telefonia mobile.
Oltre al monitoraggio locale, i messaggi SMS possono anche essere raccolti in sistemi di sorveglianza più grandi. Secondo documenti pubblicati da Edward Snowden nel 2014, all’epoca la NSA raccoglieva oltre 200 milioni di messaggi di testo al giorno da tutto il mondo.
Anche i servizi di intelligence di altri paesi hanno accesso alle razze e alla tecnologia di monitoraggio degli SMS, quindi è chiaro perché le app di comunicazione crittografate come Signal e Telegram sono particolarmente popolari tra gli attivisti che vivono sotto regimi repressivi. Ad esempio, Telegram e Signal sono vietato in Iran.
RELAZIONATO: Signal vs. Telegram: qual è la migliore app di chat?
Il tuo numero di telefono è sorprendentemente facile da dirottare
Oltre agli SMS, i numeri di telefono in realtà hanno una sicurezza molto scarsa, a livello di operatore. Un truffatore può chiamare il tuo operatore di telefonia mobile o entrare in un negozio e impersonarti. Se il truffatore ha abbastanza dettagli e può ingannare i rappresentanti del servizio clienti del tuo operatore, possono ottenere il controllo del tuo numero di telefono. Potrebbero avere il gestore di telefonia mobile che “trasferisce” il tuo numero di telefono a un altro gestore di telefonia mobile, proprio come faresti se passassi a un altro gestore di telefonia mobile. Oppure, potrebbero chiedere all’operatore di emettere una nuova scheda SIM collegata al tuo numero di telefono e disattivare la scheda SIM esistente, rimuovendo l’accesso al tuo numero di telefono.
Ora l’attaccante avrebbe il tuo numero di telefono. Con ciò, possono accedere ad account protetti dall’autenticazione a due fattori basata su SMS. Dopotutto, per un singolo truffatore, ingannare un addetto al servizio clienti è più facile che hackerare SS7. Questo è chiamato “truffa di port-out” o “attacco di scambio di SIM”.
Spesso puoi proteggere il tuo numero di telefono aggiungendo PIN extra e funzioni di sicurezza con il tuo provider di telefonia mobile. Rivolgiti al tuo provider di telefonia mobile per vedere quali funzionalità di sicurezza offrono per proteggere dalle truffe di port-out.
Questo è successo a parecchie persone, basta così la FCC e Better Business Bureau hanno pubblicato avvisi su questa truffa.
RELAZIONATO: I criminali possono rubare il tuo numero di telefono. Ecco come fermarli
iMessage e RCS: meglio degli SMS?
DenPhotos / Shutterstock.com
L’app Messaggi su iPhone supporta sia gli SMS che il servizio iMessage di Apple. Su Android, sempre più telefoni Android stanno ottenendo il supporto per il più moderno standard Rich Communication Services (RCS). Entrambi sono progettati per “aggiornare” silenziosamente le conversazioni con messaggi di testo a conversazioni più moderne e sicure quando entrambe le persone utilizzano dispositivi che le supportano. Quindi come si confrontano con gli SMS?
In un certo senso, iMessage di Apple si porta dietro gli SMS, utilizzando i numeri di telefono come identificatori. Se sia tu che la persona a cui desideri inviare messaggi di testo avete iPhone e avete abilitato iMessage, qualsiasi testo inviato verrà invece inviato come iMessage. Questi sono crittografati end-to-end e inviati tramite i server Apple. Saprai che iMessage è in uso perché i messaggi avranno bolle blu. Se invece vedi delle bolle verdi, l’app Messaggi utilizza invece gli SMS, perché stai inviando messaggi a qualcuno senza iMessage, probabilmente una persona che è un utente Android.
Lo standard RCS che viene spinto per gli utenti Android, pensalo come l’equivalente Google / Android di iMessage di Apple, non supportava la crittografia end-to-end a partire da gennaio 2021. A partire da novembre 2020, Google era lavorando per aggiungere la crittografia end-to-end a RCS. Ciò significa che, anche con quel nuovo fantasioso sistema RCS sul tuo telefono Android, il tuo gestore di telefonia mobile può ancora vedere il contenuto dei messaggi che invii, proprio come con gli SMS.
I problemi con gli SMS, riassunti
Riassumiamo rapidamente i problemi con gli SMS e confrontiamoli con un’app di chat crittografata end-to-end sicura come Signal.
Con SMS:
- Il tuo gestore di telefonia mobile può vedere il contenuto dei messaggi che stai inviando e ricevendo. Tutti i record raccolti potrebbero essere citati in giudizio in procedimenti legali.
- I messaggi SMS possono essere intercettati dagli hacker a causa di debolezze nel vecchio protocollo traballante che li alimenta. Ciò mette a rischio i conti finanziari e di altro tipo.
- Le autorità possono schierare razze per curiosare nel contenuto dei messaggi di testo in un’area.
- I truffatori possono provare a rubare il tuo numero di cellulare ingannando il personale del servizio clienti del tuo provider di telefonia mobile.
Con Signal, ad esempio:
- Il tuo gestore di telefonia mobile non può vedere il contenuto dei tuoi messaggi. Nemmeno Signal può vedere il contenuto dei tuoi messaggi o chi stai contattando, questo rimane un segreto. Signal non raccoglie questi dati. Se forzato da citazione, Signal può non rivelano quasi nulla sull’utilizzo del servizio.
- I messaggi di segnale non possono essere realisticamente dirottati dagli hacker. Dovrebbero compromettere il file Protocollo di crittografia del segnale, che gli esperti di sicurezza considerano eccellente. (Al contrario, SS7 è stato ripetutamente compromesso.)
- Le razze non possono vedere le tue conversazioni. Le autorità non possono curiosare sul contenuto dei messaggi di Signal, non senza mettere le mani su un telefono che li contiene. Tutto ciò che possono vedere è il traffico crittografato inviato avanti e indietro ai server di Signal.
- Una truffa di port-out che cattura il tuo numero di telefono non concederebbe l’accesso al tuo account Signal. Puoi proteggere il tuo account Signal con un file PIN, quindi un truffatore non può semplicemente accedere al tuo account Signal. Anche se il truffatore potesse in qualche modo indovinare il tuo PIN e accedere al tuo account Signal, i tuoi messaggi Signal sono memorizzati sul tuo telefono e non verrebbero sincronizzati con nessun nuovo dispositivo che accede al tuo account.
Cosa dovresti usare invece
Segnale
Abbiamo usato Signal come esempio qui perché il contrasto è così netto: Signal è l’app di chat privata più consigliata, con crittografia end-to-end sempre attiva.
Se hai un iPhone, la comunicazione con iMessage è molto più privata e sicura rispetto all’utilizzo di semplici vecchi SMS. Si spera che un giorno gli utenti Android disporranno di messaggi crittografati end-to-end sicuri nei loro dispositivi dopo che saranno stati apportati miglioramenti a RCS. Sfortunatamente, iMessage e RCS non sono compatibili tra loro, quindi iPhone e telefoni Android dovranno comunicare tramite SMS o passare a diverse app di chat che non sono integrate.
Anche altre app di chat sono un’opzione. Telegramma è popolare, sebbene non utilizzi la crittografia end-to-end per impostazione predefinita. WhatsApp utilizza almeno la crittografia end-to-end per impostazione predefinita, a differenza di Facebook Messenger, se ti fidi di un’app di chat gestita da Facebook. Ma anche Facebook Messenger è probabilmente più sicuro degli SMS: ti fidi di Facebook con i tuoi messaggi, ma almeno non devi preoccuparti dei problemi del vecchio e cigolante protocollo SS7.
Per una sicurezza a due fattori, è meglio evitare gli SMS per attività veramente critiche. Sfortunatamente, alcuni servizi torneranno comunque a due fattori, per comodità. Ad esempio, Google offre protezione avanzata per giornalisti, attivisti, leader aziendali e politici che necessitano della massima sicurezza per i propri account e richiede l’uso di una chiave di sicurezza fisica. Detto questo, la sicurezza a due fattori basata su SMS è ancora meglio di niente.
RELAZIONATO: Che cos’è il segnale e perché tutti lo usano?
Il futuro degli SMS: sarà mai risolto?
Gli SMS sono solo una tecnologia obsoleta. Chiaramente non è stato costruito pensando alla privacy e alla sicurezza e quelle decisioni di progettazione sono ancora valide oggi.
Si spera che questo venga risolto in futuro. Se RCS diventa più maturo, ottiene la crittografia end-to-end ed è disponibile in tutti i telefoni Android, beh, tutto ciò che Apple dovrebbe fare è accettare di rendere RCS compatibile con iMessage in qualche modo. Quindi tutti gli smartphone moderni avrebbero una messaggistica sicura che non dipende da antichi protocolli integrati.
Per ora, è meglio evitare i messaggi di testo se sei preoccupato per la tua privacy o la sicurezza dei tuoi account.
RELAZIONATO: Signal vs. Telegram: qual è la migliore app di chat?