ProtonBlog(new window)
Iscriviti con RSS

Perché dovresti smettere di usare gli SMS

Condividi questa pagina

Il servizio di messaggi brevi (SMS), noto anche semplicemente come messaggistica di testo, è presente fin dalla nascita dei telefoni cellulari (il primo messaggio di testo è stato inviato sulla rete Vodafone(new window) nel 1992).

Gli SMS sono supportati da quasi ogni operatore di telefonia mobile nel mondo, con oltre due trilioni(new window) di messaggi SMS inviati solo negli Stati Uniti nel 2020. Infatti, gli Stati Uniti rimangono una roccaforte dell’uso degli SMS(new window), andando contro la crescente tendenza in altri paesi di utilizzare alternative basate su internet come WhatsApp e Telegram.

Il grande vantaggio degli SMS è che sono universali — sono presenti sui telefoni di tutti, permettendoti di inviare messaggi a chiunque, indipendentemente dal fatto che utilizzino un iPhone o un telefono Android, o che usino una delle molte app di messaggistica di terze parti in concorrenza.

Tuttavia, a differenza delle email crittografate, gli SMS sono stati sviluppati prima che si considerasse persino la necessità di garantire che le comunicazioni fossero sicure e private. Il risultato è che i messaggi SMS sono un libro aperto, facilmente leggibili dal tuo operatore di telefonia mobile, dal tuo governo e dagli hacker criminali.

Questo è reso ancora più spaventoso dal fatto che i codici di autenticazione a due fattori (2FA)(new window) vengono regolarmente inviati tramite SMS.

Nessuna privacy dal tuo operatore di telefonia mobile

I messaggi SMS non sono in alcun modo crittografati, quindi il tuo operatore di telefonia mobile può leggere ogni messaggio che invii e ricevi. Possono anche consegnare queste informazioni a terze parti.

Negli Stati Uniti, ad esempio, l’Electronic Communications Privacy Act(new window) consente alla polizia di accedere liberamente ai messaggi SMS che hanno più di 180 giorni. Per accedere ai messaggi SMS inviati più di recente di 180 giorni, è richiesto un mandato.

Il problema con SS7

“Gli hacker possono sfruttare le vulnerabilità di SS7 per tracciare gli americani, intercettare le loro chiamate e messaggi, hackerare i loro telefoni per rubare informazioni finanziarie, sapere quando sono a casa o fuori, e in generale predare consumatori ignari. Inoltre, secondo molteplici reportage, i prodotti per lo spionaggio SS7 sono ampiamente disponibili sia per criminali che per governi stranieri”.

Il senatore Ron Wyden(new window) (D-Ore.) nel 2018 dopo aver ricevuto una lettera dal Dipartimento della Sicurezza Interna(new window) che avvisava che “attori malintenzionati potrebbero aver sfruttato” le reti cellulari globali “per prendere di mira le comunicazioni dei cittadini americani”.

Il Sistema di Segnalazione N. 7(new window) (SS7) è un insieme di protocolli di segnalazione telefonica che sono alla base delle reti di telefonia mobile in tutto il mondo. Permette alle reti telefoniche di comunicare tra di loro per connettere gli utenti e passare messaggi tra le reti, garantire una fatturazione corretta e consente agli utenti di utilizzare altre reti in roaming. È anche utilizzato per facilitare la messaggistica SMS.

Un ammasso ingombrante di tecnologie obsolete risalenti agli anni ’70, ben prima che a qualcuno venisse in mente di integrare misure di sicurezza, il SS7 è noto per essere altamente insicuro(new window) almeno dal 2008. Ma nonostante una serie di esempi molto noti di quanto sia pericolosa la situazione, non è ancora stato fatto nulla per migliorare la sicurezza di SS7.

  • Nel 2014, gli hacker hanno utilizzato SS7 per registrare una conversazione confidenziale(new window) tra l’ambasciatore degli Stati Uniti in Ucraina, Geoffrey Pyatt, e l’assistente segretario di Stato degli USA, Victoria Nuland, in cui Pyatt era molto critico nei confronti dell’UE.
  • Nel 2016, un ricercatore di sicurezza ha mostrato come gli hacker con accesso alla rete SS7 possono falsificare le identità degli utenti(new window) per accedere ai messaggi appartenenti agli utenti di molte app di messaggistica che si affidano ai numeri di telefono per l’autenticazione.
  • Nel 2017, il congressista statunitense Ted Lieu ha chiesto un’indagine del comitato di sorveglianza su SS7 in quanto rappresentava un rischio per la sicurezza nazionale. La FCC ha condotto un’indagine(new window), ma il gruppo di lavoro incaricato del compito era composto principalmente da lobbisti dell’industria delle telecomunicazioni e non da un singolo esperto accademico.
  • Sempre nel 2017, è stato riportato che gli hacker stavano utilizzando SS7 per intercettare i codici 2FA(new window) inviati tramite SMS per proteggere i conti bancari, risultando nel prosciugamento di conti bancari reali.
  • Nel 2020, l’Arabia Saudita è stata accusata di sfruttare la rete SS7 per condurre una campagna di spionaggio sistematica(new window) negli Stati Uniti.

E questi casi(new window) sono solo(new window) la punta(new window) dell’iceberg(new window). Una delle spiegazioni più credibili(new window) per cui questa situazione è permessa di continuare è che governi e agenzie di legge in tutto il mondo trovano troppo prezioso il vasto tesoro di informazioni personali disponibili attraverso la rete SS7 per desiderare un vero cambiamento.

Ovviamente, i problemi con SS7 sono molto più profondi del semplice permettere a governi, hacker e chi sa chi altro, di avere accesso illimitato a tutti i messaggi SMS del pianeta. Ma è un problema.

Attento agli attacchi di SIM swapping

I fornitori di rete mobile possono trasferire senza problemi i numeri di telefono da una SIM card all’altra. Questo permette loro di assistere i clienti i cui telefoni sono stati rubati e consente ai clienti di cambiare fornitori di rete.

Un attacco di SIM swapping consente agli hacker di sfruttare questo processo in modo che il numero di telefono di una vittima venga trasferito in modo fraudolento sulla loro SIM card. Questo si ottiene solitamente o utilizzando l’ingegneria sociale per ingannare l’operatore mobile facendogli credere che l’hacker sia il cliente genuino, o tramite dipendenti corrotti della rete mobile.

Il maggior pericolo degli attacchi di SIM swapping è che permettono agli hacker criminali di intercettare i codici 2FA inviati tramite SMS al tuo numero di telefono.

Questo è diventato un problema sempre più preoccupante, recentemente portando l’FBI degli Stati Uniti a rilasciare un annuncio di servizio pubblico(new window) avvertendo che gli attacchi di SIM swapping sono aumentati 15 volte negli ultimi due anni, risultando in perdite corrette negli Stati Uniti di più di 68 milioni di dollari nel 2021.

Vale anche la pena notare che, poiché i messaggi SMS non sono criptati in alcun modo, qualsiasi malware installato sul tuo telefono avrà pieno accesso ad essi.

iMessage e RCS sono soluzioni migliori?

iMessage

iMessage è il tentativo di Apple di sostituire gli SMS con un’alternativa moderna e sicura basata su Internet. Utilizza la crittografia end-to-end, ma solo quando i messaggi sono inviati ad altri utenti Apple. Va notato che non c’è motivo tecnico per cui iMessage non possa essere rilasciato anche su Android — il fatto che non lo sia è una pura decisione di marketing di Apple.

Considerando che Android ha una quota di mercato dei sistemi operativi mobili superiore al 70%(new window) in tutto il mondo, questo è un serio problema, che porta a ignorare largamente iMessage nella maggior parte del mondo a favore di alternative agnostiche alla piattaforma.

Negli Stati Uniti, dove gli iPhone rappresentano oltre il 50% del mercato(new window), iMessage rimane più rilevante, ma significa comunque che i messaggi a quasi metà della popolazione non sono più sicuri di quelli inviati tramite SMS regolare.

Importante per un servizio che spera di sostituire gli SMS, i codici 2FA vengono invariabilmente inviati tramite SMS regolare e quindi non sono protetti dalla crittografia di iMessage. In aggiunta a ciò, per impostazione predefinita, gli iMessage vengono salvati su iCloud senza crittografia end-to-end(new window), il che significa che, per impostazione predefinita, Apple può accedere ai tuoi messaggi indipendentemente dal fatto che siano inviati utilizzando E2EE.

Detto questo, se i tuoi contatti hanno tutti iPhone e se disabiliti i backup di iCloud, allora iMessage è senza dubbio un miglioramento rispetto agli SMS.

RCS

I Rich Communication Services(new window) (RCS) sono un protocollo di comunicazione aperto che offre la maggior parte dei vantaggi di iMessage, incluso il supporto multimediale, gruppi persistenti, condivisione di grandi file multimediali e altro ancora.

Non è un protocollo di Google, ma Google ora implementa RCS nell’app Android Messages. Anche se non crittografato end-to-end per impostazione predefinita, Google ha sviluppato un’estensione che fornisce E2EE quando si utilizza RCS.

Google ha chiesto ad Apple di integrare lo standard in iMessage(new window) affinché tutti possano beneficiare di una piattaforma di messaggistica più sicura, ma Apple si è rifiutata di considerare una tale mossa(new window).

Questo lascia RCS in una posizione simile a iMessage, dove il suo potenziale di migliorare la situazione degli SMS è limitato dalla sua mancanza di compatibilità cross-platform.

Alternative sicure agli SMS

Nella maggior parte del mondo, le app di messaggistica di terze parti basate su Internet, come WhatsApp, Signal, Telegram e persino Facebook Messenger, stanno sostituendo sempre più gli SMS.

Queste app hanno il vantaggio di permetterti di inviare messaggi a contatti su piattaforme diverse, sono tutte molto più sicure degli SMS e molte utilizzano una forte crittografia end-to-end.

Anche se popolare, WhatsApp non è la scelta migliore per la privacy perché, sebbene utilizzi E2EE, permette a Facebook di raccogliere e abusare dei tuoi metadati(new window) — con chi parli, da dove, in che momento, quanto spesso e da quale dispositivo.

Non è colpa di queste app, ma non fanno nulla per proteggerti quando le aziende inviano i tuoi codici 2FA tramite SMS normali. La tua migliore difesa è utilizzare un’app autenticatrice 2FA come Authy(new window), Google Authenticator(new window), o le open-source andOTP(new window) o FreeOTP(new window) anziché il 2FA basato su SMS dove possibile. Purtroppo, questa opzione spesso non è disponibile.

Parole finali

Gli SMS sono fondamentalmente insicuri e dovrebbero essere evitati dove possibile. iMessage è buono se tutti i tuoi contatti lo usano anche, ma per la maggior parte delle persone, un’app di messaggistica di terze parti sicura che rispetti la tua privacy è quasi certamente la migliore opzione.

Scopri le migliori app di messaggistica che rispettano la tua privacy(new window)

In alternativa, puoi iscriverti a un account Proton Mail E2EE gratuito, utilizzato da milioni di persone in tutto il mondo per proteggere le loro conversazioni private.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
what is a brute force attack
Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di
In risposta al crescente numero di violazioni dei dati, Proton Mail offre una funzionalità agli abbonati a pagamento chiamata Monitoraggio del Dark Web. Il nostro sistema verifica se le tue credenziali o altri dati sono stati diffusi su mercati illeg
Il tuo indirizzo email è la tua identità online, e lo condividi ogni volta che crei un nuovo account per un servizio online. Sebbene ciò offra comodità, lascia anche la tua identità esposta se gli hacker riescono a violare i servizi che utilizzi. Le
proton pass f-droid
La nostra missione in Proton è contribuire a creare un internet che protegga la tua privacy di default, assicuri i tuoi dati e ti dia la libertà di scelta. Oggi facciamo un altro passo in questa direzione con il lancio del nostro gestore di password