你可能会认为从 Facebook 老式短信的 Messenger 将有助于保护您的隐私。 但是标准的 SMS 文本消息不是很私密或安全。 SMS 就像传真一样——一个拒绝消失的旧的、过时的标准。
您的移动运营商可以看到您的 SMS 消息
使用 SMS,您发送的消息不是端到端加密的。 您的手机服务提供商可以查看您发送和接收的信息内容。 这些消息存储在您的蜂窝服务提供商的系统中——因此,而不是像这样的科技公司 Facebook 看到您的消息,您的蜂窝服务提供商可以看到您的消息。
蜂窝运营商存储这些消息的内容以供 不同的时间. 消息通常只保留几天,但它们将元数据(哪个号码向哪个号码发送消息,以及在什么时间)存储更长时间。 这些记录可能会在法律程序中受到传唤——因为 example,短信记录是离婚案件中常见的证据形式。
将此与端到端加密聊天应用程序进行比较,例如 Signal. Signal 没有您的通讯内容。 Signal 甚至不知道你在和谁说话。 您的对话数据仅存储在您的设备和您正在与之交谈的人的设备上——仅此而已。
除此之外,您是否应该信任您的手机提供商与您的对话? 好吧,早在 2019 年,AT&T、Sprint 和 T-Mobile 都被揭露向聚合商出售客户位置数据。 从保释担保人到流氓赏金猎人,每个人都使用它。 (在新闻报道这件事后,移动运营商承诺停止。)
你想让这些公司看到你个人对话的所有内容吗?
任何人都可以真正跟踪我手机的精确位置吗?
短信可以被犯罪分子截获
但是 SMS 消息用于安全性,对吗? 每个银行和金融机构都依赖 SMS 消息来验证您的身份是有原因的——对吗?
嗯,是的,是有原因的。 但那个原因不是因为安全。 只是每个人都有一个电话号码。 要求通过 SMS 进行确认会增加一些额外的安全性。 即使 SMS 不是特别安全,它至少可以确保攻击者除了输入密码外还必须拦截 SMS 消息。
可以截取 SMS 消息。 世界各地的移动电话网络通过 7 号信令系统 (SS7) 协议相互连接。 这就是您的手机可以连接到蜂窝网络并拨打和接听电话的方式,即使您在世界另一端的另一个国家。
SS7系统已经 多次被黑客攻击 窥探或截获 SMS 消息的人。 这在损害银行账户时特别有用,因为 example— 攻击者可以窥探通常通过 SMS 发送的验证码,使用它们访问银行账户,然后将其耗尽。
这就是为什么安全专家建议不要使用 SMS 进行双重身份验证的原因。 在您的设备上生成代码或物理安全密钥的应用程序更加防弹。 (但是,如果 SMS 是您唯一可用的选项,SMS 总比没有好。)
SMS消息可以被当局监控
世界各国政府都可以访问“黄貂鱼,” 本质上模仿蜂窝塔的设备。 当放置在您的物理位置附近时,这些会诱使您的手机连接到它们(因为您的手机会连接到普通的蜂窝塔)。 然后,黄貂鱼设备可以跟踪您的动作并查看您的 SMS 文本消息——就像您的移动运营商一样。
除了本地监控之外,SMS 消息还可以在更大的监控系统中被扫描。 根据 爱德华·斯诺登在 2014 年发布的文件,当时,美国国家安全局每天从全球收集超过 2 亿条短信。
其他国家的情报机构也可以使用黄貂鱼和短信监控技术,所以很清楚为什么加密通信应用程序喜欢 Signal 和 Telegram 在生活在专制政权下的活动家中尤其受欢迎。 为了 example, Telegram 和 Signal 是 在伊朗被禁止.
Signal 对比 Telegram: 哪个是最好的聊天应用程序?
您的电话号码非常容易被劫持
除了 SMS,电话号码的安全性实际上很差——在运营商层面。 诈骗者可以致电您的手机运营商或进入商店冒充您。 如果诈骗者有足够的详细信息并且可以欺骗您的运营商的客户服务代表,他们就可以控制您的电话号码。 他们可能会让运营商将您的电话号码“移植”到不同的蜂窝运营商——就像您在切换到另一个蜂窝运营商时所做的那样。 或者,他们可能会让运营商发行一张与您的电话号码绑定的新 SIM 卡,并停用您现有的 SIM 卡,从而取消对您电话号码的访问权限。
现在攻击者将拥有您的电话号码。 这样,他们就可以访问受基于 SMS 的双因素身份验证保护的帐户。 毕竟,对于个人诈骗者来说,欺骗客户服务人员比破解 SS7 更容易。 这被称为“移植诈骗”或“SIM 交换攻击”。
您通常可以通过向蜂窝提供商添加额外的 PIN 和安全功能来保护您的电话号码。 请咨询您的蜂窝服务提供商,了解他们提供哪些安全功能来防止移出诈骗。
这发生在不少人身上——够了 联邦通信委员会 和 商业改善局 已发布有关此骗局的警告。
犯罪分子可以窃取您的电话号码。 这是阻止他们的方法
iMessage 和 RCS:比 SMS 更好?
iPhone 上的 Messages 应用程序支持 SMS 和 Apple 自己的 iMessage 服务。 在 Android 上,越来越多的 Android 手机正在获得对更现代的富通信服务 (RCS) 标准的支持。 当双方都使用支持它们的设备时,两者都旨在以静默方式将短信对话“升级”为更现代、更安全的对话。 那么它们与 SMS 相比如何呢?
从某种意义上说,Apple 的 iMessage 搭载了 SMS,使用电话号码作为标识符。 如果您和您想发短信的人都有 iPhone 并启用了 iMessage,那么您发送的任何文本都将作为 iMessage 发送。 这些是端到端加密的,并通过 Apple 的服务器发送。 您会知道正在使用 iMessage,因为消息会有蓝色气泡。 如果您看到的是绿色气泡,则消息应用程序正在使用 SMS,因为您正在向没有 iMessage 的人发送消息,可能是 Android 用户。
为 Android 用户推出的 RCS 标准——将其视为相当于 Apple 的 iMessage 的谷歌/Android——截至 2021 年 1 月不支持端到端加密。截至 2020 年 11 月,谷歌是 致力于为 RCS 添加端到端加密. 这意味着,即使在您的 Android 手机上使用了新奇的 RCS 系统,您的移动运营商仍然可以看到您发送的消息的内容,就像使用 SMS 一样。
SMS的问题,总结
让我们快速总结一下 SMS 存在的问题,并将其与一个安全的端到端加密聊天应用程序进行比较,例如 Signal.
使用短信:
- 您的手机运营商可以看到您发送和接收的消息的内容。 任何收集的记录都可能在法律程序中被传唤。
- 由于支持它们的摇摇欲坠的旧协议的弱点,SMS 消息可能会被黑客拦截。 这使财务和其他账户面临风险。
- 当局可以部署黄貂鱼来窥探某个地区的短信内容。
- 诈骗者可以通过欺骗您的手机提供商的客户服务人员来尝试窃取您的手机号码。
和 Signal, 为了 example:
- 您的手机运营商无法看到您的消息内容。 甚至不 Signal 可以看到您的消息内容或您正在联系的人——这仍然是一个秘密。 Signal 不收集这些数据。 如果被传票强迫, Signal 能够 几乎什么也没有透露 关于您对服务的使用。
- Signal 消息实际上无法被黑客劫持。 他们将不得不妥协 Signal 加密协议,安全专家认为这很好。 (相比之下,SS7 却一再遭到入侵。)
- 黄貂鱼看不到你的对话。 当局不能窥探的内容 Signal 消息——不是没有他们的手放在包含它们的手机上。 他们所能看到的只是加密的流量来回发送到 Signal的服务器。
- 捕获您的电话号码的移出骗局不会授予对您的访问权限 Signal 帐户。 你可以保护你的 Signal 帐户 别针,所以骗子不能只访问您的 Signal 帐户。 即使诈骗者可以以某种方式猜出您的 PIN 并访问您的 Signal 帐户,您的 Signal 消息存储在您的手机上,不会同步到任何可以访问您帐户的新设备。
你应该改用什么
我们用了 Signal 作为 example 在这里,对比如此鲜明——Signal 是最广泛推荐的私人聊天应用程序,具有始终在线的端到端加密。
如果你有 iPhone,与 iMessage 通信比使用普通的旧短信更加私密和安全。 希望有一天,在对 RCS 进行改进后,Android 用户将在他们的设备中内置安全的端到端加密消息。 不幸的是,iMessage 和 RCS 彼此不兼容,因此 iPhone 和 Android 手机将不得不通过 SMS 进行通信,或者切换到未内置的不同聊天应用程序。
其他聊天应用程序也是一种选择。 Telegram 很受欢迎,尽管默认情况下它不使用端到端加密。 WhatsApp 至少默认使用端到端加密,不像 Facebook 信使——如果你信任一个 Facebook-操作的聊天应用程序。 但即使 Facebook Messenger 可以说比 SMS 更安全——您值得信赖 Facebook 与您的消息,但至少您不必担心古老的、摇摇欲坠的旧 SS7 协议中的问题。
对于双因素安全性,最好避免 SMS 用于真正关键的任务。 不幸的是,为了方便起见,一些服务无论如何都会退回到 SMS 身份验证。 有时有替代方案。 为了 example,Google 为需要最大程度保护其帐户安全性的记者、活动家、商业领袖和政治家提供高级保护,并且需要使用物理安全密钥。 也就是说,基于 SMS 的双因素安全性仍然聊胜于无。
什么是 Signal,为什么每个人都在使用它?
短信的未来:它会被修复吗?
短信只是过时的技术。 它显然没有考虑到隐私和安全性,并且这些设计决策今天仍然存在。
希望这将在未来得到解决。 如果 RCS 变得更加成熟,获得端到端加密,并且适用于所有 Android 手机——那么,Apple 所要做的就是同意以某种方式使 RCS 与 iMessage 兼容。 然后,所有现代智能手机都将拥有不依赖于内置古老协议的安全消息传递。
目前,如果您担心自己的隐私或帐户安全,最好避免发送短信。
Signal 对比 Telegram: 哪个是最好的聊天应用程序?
