Miért nem biztonságosak vagy biztonságosak az SMS-üzenetek?

Avatar admin | 2021.01.21. 58 Views 0 Likes 0 Ratings

58 Views 0 Ratings Rate it

Kezei egy okostelefon.
ImYanis / Shutterstock.com

Gondolhatja, hogy a Facebook Messengerről régimódi szöveges üzenetekre való áttérés segít megvédeni a magánéletét. De a szokásos SMS-ek nem túl privátok vagy biztonságosak. Az SMS olyan, mint fax– egy régi, elavult szabvány, amely nem hajlandó elmúlni.

Mobilszolgáltatója láthatja az SMS-eket

SMS-ek esetén az Ön által küldött üzenetek nincsenek titkosítva. A mobilszolgáltató láthatja az Ön által küldött és fogadott üzenetek tartalmát. Ezeket az üzeneteket a mobil szolgáltató rendszerei tárolják – így ahelyett, hogy egy olyan technológiai vállalat, mint a Facebook, látná az üzeneteit, a mobil szolgáltatója láthatja az üzeneteit.

A mobilszolgáltatók tárolják ezen üzenetek tartalmát különféle ideig. Az üzeneteket gyakran csak több napig őrzik, de a metaadatokat (melyik szám melyik számra küldött üzenetet, és melyik időpontban) még hosszabb ideig tárolják. Ezekre a nyilvántartásokra bírósági eljárás alatt bírósági idézés vonatkozhat – például a válóperekben a szöveges üzenetek nyilvántartása a bizonyítás általános formája.

Hasonlítsa ezt össze egy végpontok közötti titkosított csevegőalkalmazással, például Jel. A Signal nem tartalmazza a kommunikáció tartalmát. Signal azt sem tudja, kivel beszél. Beszélgetési adatait csak az Ön eszközén és annak a személynek az eszközén tárolja, akivel beszélget – ez az.

Ezt félretéve, meg kellene bíznia a mobilszolgáltatót a beszélgetéseiben? Nos, még 2019-ben kiderült, hogy az AT&T, a Sprint és a T-Mobile is vásárlói helyadatok eladása aggregátoroknak. Az óvadékkötvényektől kezdve a szélhámos fejvadászokig mindenki használta. (Miután erről a hírekben beszámoltak, a mobilszolgáltatók megígérték, hogy leállnak.)

Szeretné, hogy ezek a vállalatok lássák személyes beszélgetéseinek összes tartalmát?

ÖSSZEFÜGGŐ: Valaki képes követni a telefonom pontos helyét?

Az SMS-üzeneteket a bűnözők képesek elfogni

Mobil tornyok egy naplemente háttér előtt.
SERDTHONGCHAI / Shutterstock.com

De az SMS-eket a biztonság érdekében használják, nem? Ennek oka, hogy minden bank és pénzintézet SMS-üzenetekre támaszkodik személyazonosságának igazolására – igaz?

Nos, igen, van oka. De ez az ok nem a biztonság miatt van. Csak mindenkinek van telefonszáma. Az SMS-ben történő megerősítés igénylése további biztonságot nyújt. Még akkor is, ha az SMS nem különösebben biztonságos, legalább biztosítja, hogy a támadónak az Ön jelszavának beírása mellett el kell fogadnia egy SMS-t.

Az SMS-ek lehallgathatók. A mobiltelefon-hálózatok világszerte a 7. jelzőrendszer (SS7) protokollon keresztül kapcsolódnak egymáshoz. Így telefonja csatlakozhat egy mobilhálózathoz, és hívásokat kezdeményezhet és fogadhat, még akkor is, ha egy másik országban tartózkodik a világ másik oldalán.

Az SS7 rendszer már volt hackerek többször megtámadták akik szimatolták az SMS üzeneteket vagy lehallgatták őket. Ez különösen akkor hasznos, ha például a bankszámlákat veszélyeztetik – a támadók átkutathatják az általában SMS-ben elküldött ellenőrző kódokat, felhasználhatják őket bankszámlákhoz való hozzáféréshez és leereszthetik azokat.

Ezért vannak a biztonsági szakemberek nem ajánlott az SMS kétfaktoros hitelesítéshez. Egy alkalmazás, amely kódokat generál a készüléken vagy egy fizikai biztonsági kulcs sokkal golyóállóbb. (Ha azonban az SMS az egyetlen lehetőség, Az SMS jobb, mint a semmi.)

Az SMS üzeneteket a hatóságok figyelemmel kísérhetik

A kormányok szerte a világon hozzáférhetnek asztrájk, ”Eszközök, amelyek lényegében egy mobil tornyot adnak vissza. Amikor a fizikai hely közelében helyezik el, ezek becsapják a telefont, hogy csatlakozzon hozzájuk (mivel a telefon egy normál mobil toronyhoz csatlakozna). A csípős eszköz ezután nyomon követheti mozgásait és láthatja az SMS-eket – akárcsak a mobilszolgáltatója.

A helyi megfigyelésen túl az SMS-eket nagyobb felügyeleti rendszerekben is fel lehet söpörni. Alapján Edward Snowden által még 2014-ben kiadott dokumentumok, az NSA abban az időben napi több mint 200 millió szöveges üzenetet gyűjtött a világ minden tájáról.

Más országok hírszerző szolgálatai is hozzáférhetnek a csíkokhoz és az SMS-megfigyelő technológiához, így egyértelmű, miért titkosított kommunikációs alkalmazások, például a Signal és a Telegram különösen az elnyomó rendszerek alatt élő aktivisták körében népszerűek. Például a távirat és a jel Iránban betiltották.

ÖSSZEFÜGGŐ: Jel vs. távirat: melyik a legjobb csevegőalkalmazás?

Telefonszámát meglepően könnyű eltéríteni

Az SMS-en túl a telefonszámok valójában nagyon rossz biztonsággal rendelkeznek – a szolgáltató szintjén. Egy csaló felhívhatja mobilszolgáltatóját, vagy bemehet egy üzletbe és megszemélyesítheti Önt. Ha a csalónak elegendő adata van, és becsaphatja a szolgáltató ügyfélszolgálati képviselőit, akkor irányíthatják az Ön telefonszámát. Előfordulhat, hogy a szolgáltató „kikapcsolja” telefonszámát egy másik mobilszolgáltatóhoz – ugyanúgy, ahogyan tenné, ha másik mobilszolgáltatóra váltana. Vagy megadhatja, hogy a szolgáltató kiadjon egy új SIM-kártyát a telefonszámához kötve, és inaktiválja a meglévő SIM-kártyát, megszüntetve ezzel a telefonszámhoz való hozzáférést.

Most a támadónak megvan a telefonszáma. Ezzel hozzáférhetnek az SMS alapú kétfaktoros hitelesítéssel védett fiókokhoz. Egy egyéni csaló számára az ügyfélszolgálati személy átverése könnyebb, mint az SS7 feltörése. Ezt nevezik „port-out átverés” vagy „SIM cserélő támadás”.

Gyakran megvédheti telefonszámát azzal, hogy extra PIN-kódokat és biztonsági szolgáltatásokat ad hozzá mobilszolgáltatójához. Forduljon mobilszolgáltatójához, hogy megnézze, milyen biztonsági szolgáltatásokat kínálnak a port-out csalások ellen.

Ez elég sok emberrel történt – elég ahhoz az FCC és Jobb üzleti iroda figyelmeztetéseket adtak ki erről az átverésről.

ÖSSZEFÜGGŐ: A bűnözők ellophatják az Ön telefonszámát. Így állíthatjuk meg őket

iMessage és RCS: Jobb, mint az SMS?

IMessage beszélgetés kék buborékokkal az iPhone-on.
DenPhotos / Shutterstock.com

Az iPhone Messages alkalmazás támogatja az SMS-eket és az Apple sajátjait is iMessage szolgáltatás. Androidon egyre több androidos telefon van támogatás megszerzése a modernebbek számára Rich Communication Services (RCS) szabvány. Mindkettőt úgy tervezték, hogy csendesen „frissítse” a szöveges üzenetekkel folytatott beszélgetéseket modernebb, biztonságosabb beszélgetésekre, amikor mindkét ember az őket támogató eszközöket használ. Tehát hogyan viszonyulnak az SMS-hez?

Az Apple iMessage bizonyos értelemben visszahúzza az SMS-t, telefonszámokat használva azonosítóként. Ha Önnek és annak a személynek, akinek szöveges üzenetet szeretne küldeni, iPhone készüléke van, és engedélyezte az iMessage alkalmazást, minden küldött szöveget helyette iMessage-ként küldünk. Ezeket végpontok közötti titkosítással és az Apple szerverein keresztül küldik el. Tudni fogja, hogy az iMessage-t azért használják az üzenetek kék buborékok lesznek. Ha zöld buborékokat lát, akkor az Üzenetek alkalmazás SMS-t használ – mert valakit iMessage nélkül üzen, valószínűleg olyan személyt, aki Android-felhasználó.

Az RCS szabvány az Android felhasználók számára – gondoljunk rá úgy, mint az Apple iMessage-jével egyenértékű Google / Androidra – 2021 januárjától nem támogatta a végpontok közötti titkosítást. 2020 novemberétől a Google end-to-end titkosítás hozzáadása az RCS-hez. Ez azt jelenti, hogy még az Android-telefonjának divatos új RCS rendszerével a mobilszolgáltatója továbbra is láthatja az Ön által küldött üzenetek tartalmát, akárcsak az SMS-eknél.

Az SMS-vel kapcsolatos problémák összefoglalva

Gyorsan foglaljuk össze az SMS-sel kapcsolatos problémákat, és hasonlítsuk össze egy biztonságos, végpontok közötti titkosított csevegőalkalmazással, például a Signal-szal.

SMS-ben:

  • Mobilszolgáltatója láthatja az Ön által küldött és fogadott üzenetek tartalmát. Az összegyűjtött iratokat bírósági eljárásban idézhetik.
  • Az SMS-eket a hackerek elfoghatják az őket működtető rozoga, régi protokoll gyengeségei miatt. Ez veszélyezteti a pénzügyi és egyéb számlákat.
  • A hatóságok sztrájkokat telepíthetnek a szöveges üzenetek tartalmának becsempészésére egy területen.
  • A csalók megpróbálhatják eltulajdonítani a mobiltelefon számát azzal, hogy becsapják a mobilszolgáltató ügyfélszolgálati munkatársait.

A Signal segítségével például:

  • A mobilszolgáltató nem látja az üzenetek tartalmát. Még a Signal sem láthatja az üzenetek tartalmát vagy azt, hogy kivel lép kapcsolatba – ez továbbra is titok. A Signal nem gyűjti ezeket az adatokat. Ha idézés kényszeríti, a Signal képes szinte semmit sem árul el a szolgáltatás használatáról.
  • A hackerek nem reálisan tudják eltéríteni a jelzett üzeneteket. Kompromisszumot kellene kötniük a Jel titkosítási protokoll, amelyet a biztonsági szakértők kiválónak tartanak. (Ezzel szemben az SS7-et ismételten veszélyeztették.)
  • Stingrays nem láthatja a beszélgetéseit. A hatóságok nem tudják leskelődni a Signal üzenetek tartalmát – anélkül, hogy kezükbe nem vennék az őket tartalmazó telefont. Csak annyit láthatnak, hogy titkosított forgalmat továbbítanak oda-vissza a Signal szervereire.
  • A telefonszámát rögzítő port-out átverés nem biztosít hozzáférést a Signal-fiókjához. Signal-fiókját a PIN kódot, így egy csaló nem csak a Signal-fiókjához férhet hozzá. Még akkor is, ha a csaló valahogy kitalálja a PIN-kódot, és hozzáférhet a Signal-fiókjához, a Signal üzeneteit a telefon tárolja, és nem szinkronizálják olyan új eszközökkel, amelyek hozzáférnek a fiókjához.

Mit kell használnia helyette

Jelzőalkalmazások, amelyek megmutatják a beszélgetési listát és a beszélgetést.
Jel

A Signal példát itt használtuk, mivel a kontraszt olyan éles –A Signal a legszélesebb körben ajánlott privát csevegőalkalmazás, mindig végpontok közötti titkosítással.

Ha van iPhone-ja, akkor az iMessage-lel való kommunikáció sokkal privátabb és biztonságosabb, mint a sima régi SMS használata. Remélhetőleg az Android-felhasználók egy nap biztonságos, végpontok közötti titkosított üzeneteket fognak beépíteni az eszközeikbe az RCS fejlesztése után. Sajnos az iMessage és az RCS nem kompatibilis egymással, ezért az iPhone-oknak és az Android-telefonoknak SMS-ben kell kommunikálniuk, vagy különféle beépített csevegőalkalmazásokra kell váltaniuk.

Más csevegőalkalmazások is lehetőségek. Távirat népszerű, bár alapértelmezés szerint nem használ végpontok közötti titkosítást. A WhatsApp legalább alapértelmezés szerint végpontok közötti titkosítást használ, ellentétben a Facebook Messengerrel – ha megbízik egy Facebook által működtetett csevegőalkalmazásban. De még a Facebook Messenger is vitathatatlanul biztonságosabb, mint az SMS – megbízik a Facebookban az üzeneteivel, de legalább nem kell aggódnia az ősi, recsegő régi SS7 protokoll problémáival.

A kétfaktoros biztonság érdekében a legjobb elkerülni az SMS-t az igazán kritikus feladatokhoz. Sajnos egyes szolgáltatások amúgy is kétfaktorosak lesznek – a kényelem érdekében. Például, A Google Speciális védelmet kínál újságírók, aktivisták, üzleti vezetők és politikusok számára, akiknek a fiókjukhoz maximális biztonságra van szükségük, és ehhez a fizikai biztonsági kulcs. Ennek ellenére az SMS-alapú kétfaktoros biztonság még mindig jobb, mint a semmi.

ÖSSZEFÜGGŐ: Mi a jel, és miért használja mindenki?

Az SMS jövője: kijavítják-e valaha?

Az SMS csak elavult technológia. Nyilvánvalóan nem a magánélet és a biztonság szem előtt tartásával készült, és ezek a tervezési döntések ma is vele vannak.

Remélhetőleg ezt a jövőben rendezni fogják. Ha az RCS kiforrottabbá válik, végpontok közötti titkosításra tesz szert, és minden androidos telefonon elérhető – nos, akkor az Apple-nek csak annyit kellene tennie, hogy vállalja, hogy az RCS valamilyen módon kompatibilis az iMessage-lel. Akkor minden modern okostelefon biztonságos üzenettel rendelkezne, amely nem függ a beépített ősi protokolloktól.

Egyelőre a legjobb elkerülni a szöveges üzeneteket, ha aggódsz a magánéleted vagy a fiókok biztonsága miatt.

ÖSSZEFÜGGŐ: Jel vs. távirat: melyik a legjobb csevegőalkalmazás?




Source link


58 Views 0 Ratings Rate it

  • Minden jog fenntartva 2019-2020. Hogyankészítsek.Hu Impresszum Adatkezelési szabályok