您可能認為從Facebook Messenger 切換到老式短信將有助於保護您的隱私。但是標準的SMS 文本消息不是很私密或安全。 SMS 就像傳真一樣——一個拒絕消失的舊的、過時的標準。
您的移動運營商可以看到您的SMS 消息
使用SMS,您發送的消息不是端到端加密的。您的手機服務提供商可以查看您發送和接收的信息內容。這些消息存儲在您的蜂窩服務提供商的系統中——因此,您的蜂窩服務提供商可以看到您的消息,而不是像Facebook 這樣的科技公司看到您的消息。
蜂窩運營商存儲這些消息的內容以供 不同的時間. 消息通常只保留幾天,但它們將元數據(哪個號碼向哪個號碼發送消息,以及在什麼時間)存儲更長時間。這些記錄可能會在法律程序中受到傳喚——例如,短信記錄是離婚案件中常見的證據形式。
將此與端到端加密聊天應用程序進行比較,例如 信號. Signal 沒有您的通訊內容。 Signal甚至不知道你在和誰說話。您的對話數據僅存儲在您的設備和您正在與之交談的人的設備上——僅此而已。
除此之外,您是否應該信任您的手機提供商與您的對話?好吧,早在2019 年,AT&T、Sprint 和T-Mobile 都被揭露向聚合商出售客戶位置數據。從保釋擔保人到流氓賞金獵人,每個人都使用它。 (在新聞報導這件事後,移動運營商承諾停止。)
你想讓這些公司看到你個人對話的所有內容嗎?
任何人都可以真正跟踪我手機的精確位置嗎?
短信可以被犯罪分子截獲
但是SMS 消息用於安全性,對嗎?每個銀行和金融機構都依賴SMS 消息來驗證您的身份是有原因的——對嗎?
嗯,是的,是有原因的。但那個原因不是因為安全。只是每個人都有一個電話號碼。要求通過SMS 進行確認會增加一些額外的安全性。即使SMS 不是特別安全,它至少可以確保攻擊者除了輸入密碼外還必須攔截SMS 消息。
可以截取SMS 消息。世界各地的移動電話網絡通過7 號信令系統(SS7) 協議相互連接。這就是您的手機可以連接到蜂窩網絡並撥打和接聽電話的方式,即使您在世界另一端的另一個國家。
SS7系統已經 多次被黑客攻擊 窺探或截獲SMS 消息的人。這在入侵銀行賬戶時特別有用,例如,攻擊者可以窺探通常通過SMS 發送的驗證碼,使用它們訪問銀行賬戶,然後將其耗盡。
這就是為什麼安全專家建議不要使用SMS 進行雙重身份驗證的原因。在您的設備上生成代碼或物理安全密鑰的應用程序更加防彈。 (但是,如果SMS 是您唯一可用的選項,SMS 總比沒有好。)
SMS消息可以被當局監控
世界各國政府都可以訪問“黃貂魚,” 本質上模仿蜂窩塔的設備。 當放置在您的物理位置附近時,這些會誘使您的手機連接到它們(因為您的手機會連接到普通的蜂窩塔)。 然後,黃貂魚設備可以跟踪您的動作並查看您的SMS 文本消息——就像您的移動運營商一樣。
除了本地監控之外,SMS 消息還可以在更大的監控系統中被掃描。根據 愛德華·斯諾登在2014 年發布的文件,當時,美國國家安全局每天從全球收集超過2 億條短信。
其他國家的情報機構也可以使用黃貂魚和短信監控技術,因此很清楚為什麼像Signal 和Telegram 這樣的加密通信應用程序在生活在專制政權下的活動家中特別受歡迎。例如,電報和信號是 在伊朗被禁止.
Signal vs. Telegram:哪個是最好的聊天應用程序?
您的電話號碼非常容易被劫持
除了SMS,電話號碼的安全性實際上很差——在運營商層面。詐騙者可以致電您的手機運營商或進入商店冒充您。如果詐騙者有足夠的詳細信息並且可以欺騙您的運營商的客戶服務代表,他們就可以控制您的電話號碼。他們可能會讓運營商將您的電話號碼“移植”到不同的蜂窩運營商——就像您在切換到另一個蜂窩運營商時所做的那樣。或者,他們可能會讓運營商發行一張與您的電話號碼綁定的新SIM 卡,並停用您現有的SIM 卡,從而取消對您電話號碼的訪問權限。
現在攻擊者將擁有您的電話號碼。這樣,他們就可以訪問受基於SMS 的雙因素身份驗證保護的帳戶。畢竟,對於個人詐騙者來說,欺騙客戶服務人員比破解SS7 更容易。這被稱為“移植詐騙”或“SIM 交換攻擊”。
您通常可以通過向蜂窩提供商添加額外的PIN 和安全功能來保護您的電話號碼。請諮詢您的蜂窩服務提供商,了解他們提供哪些安全功能來防止移出詐騙。
這發生在不少人身上——夠了 聯邦通信委員會 和 商業改善局 已發布有關此騙局的警告。
犯罪分子可以竊取您的電話號碼。這是阻止他們的方法
iMessage 和RCS:比SMS 更好?
iPhone 上的Messages 應用程序支持SMS 和Apple 自己的iMessage 服務。在Android 上,越來越多的Android 手機正在獲得對更現代的富通信服務(RCS) 標準的支持。當雙方都使用支持它們的設備時,兩者都旨在以靜默方式將短信對話“升級”為更現代、更安全的對話。那麼它們與SMS 相比如何呢?
從某種意義上說,Apple 的iMessage 搭載了SMS,使用電話號碼作為標識符。如果您和您想發短信的人都有iPhone 並啟用了iMessage,那麼您發送的任何文本都將作為iMessage 發送。這些是端到端加密的,並通過Apple 的服務器發送。您會知道正在使用iMessage,因為消息會有藍色氣泡。如果您看到的是綠色氣泡,則消息應用程序正在使用SMS,因為您正在向沒有iMessage 的人發送消息,可能是Android 用戶。
為Android 用戶推出的RCS 標準——將其視為相當於Apple 的iMessage 的谷歌/Android——截至2021 年1 月不支持端到端加密。截至2020 年11 月,谷歌是 致力於為RCS 添加端到端加密. 這意味著,即使在您的Android 手機上使用了新奇的RCS 系統,您的移動運營商仍然可以看到您發送的消息的內容,就像使用SMS 一樣。
SMS的問題,總結
讓我們快速總結一下SMS 存在的問題,並將其與Signal 等安全的端到端加密聊天應用程序進行比較。
使用短信:
- 您的手機運營商可以看到您發送和接收的消息的內容。任何收集的記錄都可能在法律程序中被傳喚。
- 由於支持它們的搖搖欲墜的舊協議的弱點,SMS 消息可能會被黑客攔截。這使財務和其他賬戶面臨風險。
- 當局可以部署黃貂魚來窺探某個地區的短信內容。
- 詐騙者可以通過欺騙您的手機提供商的客戶服務人員來嘗試竊取您的手機號碼。
以Signal 為例:
- 您的手機運營商無法看到您的消息內容。甚至Signal 也無法看到您的消息內容或您正在聯繫的人——這仍然是一個秘密。 Signal 不會收集這些數據。如果被傳票強制,Signal 可以 幾乎什麼也沒有透露 關於您對服務的使用。
- 信號消息實際上無法被黑客劫持。他們將不得不妥協 信號加密協議,安全專家認為這很好。 (相比之下,SS7 卻一再遭到入侵。)
- 黃貂魚看不到你的對話。當局無法窺探Signal 消息的內容——除非他們把手放在包含這些消息的手機上。他們所能看到的只是加密的流量來回發送到Signal 的服務器。
- 捕獲您的電話號碼的移出騙局不會授予對您Signal 帳戶的訪問權限。您可以通過以下方式保護您的Signal 帳戶 別針,因此詐騙者不能只訪問您的Signal 帳戶。即使詐騙者能夠以某種方式猜出您的PIN 並訪問您的Signal 帳戶,您的Signal 消息也會存儲在您的手機上,並且不會同步到任何可以訪問您帳戶的新設備。
你應該改用什麼
我們在這裡使用Signal 作為示例,因為對比是如此鮮明——Signal 是最廣泛推薦的私人聊天應用程序,具有始終在線的端到端加密。
如果你有iPhone,與iMessage 通信比使用普通的舊短信更加私密和安全。希望有一天,在對RCS 進行改進後,Android 用戶將在他們的設備中內置安全的端到端加密消息。不幸的是,iMessage 和RCS 彼此不兼容,因此iPhone 和Android 手機將不得不通過SMS 進行通信,或者切換到未內置的不同聊天應用程序。
其他聊天應用程序也是一種選擇。 電報 很受歡迎,儘管默認情況下它不使用端到端加密。與Facebook Messenger 不同,WhatsApp 至少默認使用端到端加密——如果您信任Facebook 運營的聊天應用程序。但即使是Facebook Messenger 也可以說比SMS 更安全——你相信Facebook 會處理你的消息,但至少你不必擔心古老、陳舊的SS7 協議中的問題。
對於雙因素安全性,最好避免SMS 用於真正關鍵的任務。不幸的是,為了方便起見,一些服務無論如何都會退回到SMS 身份驗證。有時有替代方案。例如,Google 為需要為其帳戶提供最大安全性的記者、活動家、商業領袖和政治家提供高級保護,並且需要使用物理安全密鑰。也就是說,基於SMS 的雙因素安全性仍然聊勝於無。
什麼是信號,為什麼每個人都在使用它?
短信的未來:它會被修復嗎?
短信只是過時的技術。它顯然沒有考慮到隱私和安全性,並且這些設計決策今天仍然存在。
希望這將在未來得到解決。如果RCS 變得更加成熟,獲得端到端加密,並且適用於所有Android 手機——那麼,Apple 所要做的就是同意以某種方式使RCS 與iMessage 兼容。然後,所有現代智能手機都將擁有不依賴於內置古老協議的安全消息傳遞。
目前,如果您擔心自己的隱私或帳戶安全,最好避免發送短信。
Signal vs. Telegram:哪個是最好的聊天應用程序?
