Proton

Il servizio di messaggi brevi (SMS), noto anche semplicemente come messaggistica di testo, è presente fin dalla nascita dei telefoni cellulari (il primo messaggio di testo è stato inviato sulla rete Vodafone(nuova finestra) nel 1992).

Gli SMS sono supportati da quasi ogni operatore di telefonia mobile nel mondo, con oltre due trilioni(nuova finestra) di messaggi SMS inviati solo negli Stati Uniti nel 2020. Infatti, gli Stati Uniti rimangono una roccaforte dell’uso degli SMS(nuova finestra), andando contro la crescente tendenza in altri paesi di utilizzare alternative basate su internet come WhatsApp e Telegram.

Il grande vantaggio degli SMS è che sono universali — sono presenti sui telefoni di tutti, permettendoti di inviare messaggi a chiunque, indipendentemente dal fatto che utilizzino un iPhone o un telefono Android, o che usino una delle molte app di messaggistica di terze parti in concorrenza.

Tuttavia, a differenza delle email crittografate, gli SMS sono stati sviluppati prima che si considerasse persino la necessità di garantire che le comunicazioni fossero sicure e private. Il risultato è che i messaggi SMS sono un libro aperto, facilmente leggibili dal tuo operatore di telefonia mobile, dal tuo governo e dagli hacker criminali.

Questo è reso ancora più spaventoso dal fatto che i codici di autenticazione a due fattori (2FA) vengono regolarmente inviati tramite SMS.

Nessuna privacy dal tuo operatore di telefonia mobile

I messaggi SMS non sono in alcun modo crittografati, quindi il tuo operatore di telefonia mobile può leggere ogni messaggio che invii e ricevi. Possono anche consegnare queste informazioni a terze parti.

Negli Stati Uniti, ad esempio, l’Electronic Communications Privacy Act(nuova finestra) consente alla polizia di accedere liberamente ai messaggi SMS che hanno più di 180 giorni. Per accedere ai messaggi SMS inviati più di recente di 180 giorni, è richiesto un mandato.

Il problema con SS7

“Gli hacker possono sfruttare le vulnerabilità di SS7 per tracciare gli americani, intercettare le loro chiamate e messaggi, hackerare i loro telefoni per rubare informazioni finanziarie, sapere quando sono a casa o fuori, e in generale predare consumatori ignari. Inoltre, secondo molteplici reportage, i prodotti per lo spionaggio SS7 sono ampiamente disponibili sia per criminali che per governi stranieri”.

Il senatore Ron Wyden(nuova finestra) (D-Ore.) nel 2018 dopo aver ricevuto una lettera dal Dipartimento della Sicurezza Interna(nuova finestra) che avvisava che “attori malintenzionati potrebbero aver sfruttato” le reti cellulari globali “per prendere di mira le comunicazioni dei cittadini americani”.

Il Sistema di Segnalazione N. 7(nuova finestra) (SS7) è un insieme di protocolli di segnalazione telefonica che sono alla base delle reti di telefonia mobile in tutto il mondo. Permette alle reti telefoniche di comunicare tra di loro per connettere gli utenti e passare messaggi tra le reti, garantire una fatturazione corretta e consente agli utenti di utilizzare altre reti in roaming. È anche utilizzato per facilitare la messaggistica SMS.

Un ammasso ingombrante di tecnologie obsolete risalenti agli anni ’70, ben prima che a qualcuno venisse in mente di integrare misure di sicurezza, il SS7 è noto per essere altamente insicuro(nuova finestra) almeno dal 2008. Ma nonostante una serie di esempi molto noti di quanto sia pericolosa la situazione, non è ancora stato fatto nulla per migliorare la sicurezza di SS7.

  • Nel 2014, gli hacker hanno utilizzato SS7 per registrare una conversazione confidenziale(nuova finestra) tra l’ambasciatore degli Stati Uniti in Ucraina, Geoffrey Pyatt, e l’assistente segretario di Stato degli USA, Victoria Nuland, in cui Pyatt era molto critico nei confronti dell’UE.
  • Nel 2016, un ricercatore di sicurezza ha mostrato come gli hacker con accesso alla rete SS7 possono falsificare le identità degli utenti(nuova finestra) per accedere ai messaggi appartenenti agli utenti di molte app di messaggistica che si affidano ai numeri di telefono per l’autenticazione.
  • Nel 2017, il congressista statunitense Ted Lieu ha chiesto un’indagine del comitato di sorveglianza su SS7 in quanto rappresentava un rischio per la sicurezza nazionale. La FCC ha condotto un’indagine(nuova finestra), ma il gruppo di lavoro incaricato del compito era composto principalmente da lobbisti dell’industria delle telecomunicazioni e non da un singolo esperto accademico.
  • Sempre nel 2017, è stato riportato che gli hacker stavano utilizzando SS7 per intercettare i codici 2FA(nuova finestra) inviati tramite SMS per proteggere i conti bancari, risultando nel prosciugamento di conti bancari reali.
  • Nel 2020, l’Arabia Saudita è stata accusata di sfruttare la rete SS7 per condurre una campagna di spionaggio sistematica(nuova finestra) negli Stati Uniti.

E questi casi(nuova finestra) sono solo(nuova finestra) la punta(nuova finestra) dell’iceberg(nuova finestra). Una delle spiegazioni più credibili(nuova finestra) per cui questa situazione è permessa di continuare è che governi e agenzie di legge in tutto il mondo trovano troppo prezioso il vasto tesoro di informazioni personali disponibili attraverso la rete SS7 per desiderare un vero cambiamento.

Ovviamente, i problemi con SS7 sono molto più profondi del semplice permettere a governi, hacker e chi sa chi altro, di avere accesso illimitato a tutti i messaggi SMS del pianeta. Ma è un problema.

Attento agli attacchi di SIM swapping

I fornitori di rete mobile possono trasferire senza problemi i numeri di telefono da una SIM card all’altra. Questo permette loro di assistere i clienti i cui telefoni sono stati rubati e consente ai clienti di cambiare fornitori di rete.

Un attacco di SIM swapping consente agli hacker di sfruttare questo processo in modo che il numero di telefono di una vittima venga trasferito in modo fraudolento sulla loro SIM card. Questo si ottiene solitamente o utilizzando l’ingegneria sociale per ingannare l’operatore mobile facendogli credere che l’hacker sia il cliente genuino, o tramite dipendenti corrotti della rete mobile.

Il maggior pericolo degli attacchi di SIM swapping è che permettono agli hacker criminali di intercettare i codici 2FA inviati tramite SMS al tuo numero di telefono.

Questo è diventato un problema sempre più preoccupante, recentemente portando l’FBI degli Stati Uniti a rilasciare un annuncio di servizio pubblico(nuova finestra) avvertendo che gli attacchi di SIM swapping sono aumentati 15 volte negli ultimi due anni, risultando in perdite corrette negli Stati Uniti di più di 68 milioni di dollari nel 2021.

Vale anche la pena notare che, poiché i messaggi SMS non sono criptati in alcun modo, qualsiasi malware installato sul tuo telefono avrà pieno accesso ad essi.

iMessage e RCS sono soluzioni migliori?

iMessage

iMessage è il tentativo di Apple di sostituire gli SMS con un’alternativa moderna e sicura basata su Internet. Utilizza la crittografia end-to-end, ma solo quando i messaggi sono inviati ad altri utenti Apple. Va notato che non c’è motivo tecnico per cui iMessage non possa essere rilasciato anche su Android — il fatto che non lo sia è una pura decisione di marketing di Apple.

Considerando che Android ha una quota di mercato dei sistemi operativi mobili superiore al 70%(nuova finestra) in tutto il mondo, questo è un serio problema, che porta a ignorare largamente iMessage nella maggior parte del mondo a favore di alternative agnostiche alla piattaforma.

Negli Stati Uniti, dove gli iPhone rappresentano oltre il 50% del mercato(nuova finestra), iMessage rimane più rilevante, ma significa comunque che i messaggi a quasi metà della popolazione non sono più sicuri di quelli inviati tramite SMS regolare.

Importante per un servizio che spera di sostituire gli SMS, i codici 2FA vengono invariabilmente inviati tramite SMS regolare e quindi non sono protetti dalla crittografia di iMessage. In aggiunta a ciò, per impostazione predefinita, gli iMessage vengono salvati su iCloud senza crittografia end-to-end(nuova finestra), il che significa che, per impostazione predefinita, Apple può accedere ai tuoi messaggi indipendentemente dal fatto che siano inviati utilizzando E2EE.

Detto questo, se i tuoi contatti hanno tutti iPhone e se disabiliti i backup di iCloud, allora iMessage è senza dubbio un miglioramento rispetto agli SMS.

RCS

I Rich Communication Services(nuova finestra) (RCS) sono un protocollo di comunicazione aperto che offre la maggior parte dei vantaggi di iMessage, incluso il supporto multimediale, gruppi persistenti, condivisione di grandi file multimediali e altro ancora.

Non è un protocollo di Google, ma Google ora implementa RCS nell’app Android Messages. Anche se non crittografato end-to-end per impostazione predefinita, Google ha sviluppato un’estensione che fornisce E2EE quando si utilizza RCS.

Google ha chiesto ad Apple di integrare lo standard in iMessage(nuova finestra) affinché tutti possano beneficiare di una piattaforma di messaggistica più sicura, ma Apple si è rifiutata di considerare una tale mossa(nuova finestra).

Questo lascia RCS in una posizione simile a iMessage, dove il suo potenziale di migliorare la situazione degli SMS è limitato dalla sua mancanza di compatibilità cross-platform.

Alternative sicure agli SMS

Nella maggior parte del mondo, le app di messaggistica di terze parti basate su Internet, come WhatsApp, Signal, Telegram e persino Facebook Messenger, stanno sostituendo sempre più gli SMS.

Queste app hanno il vantaggio di permetterti di inviare messaggi a contatti su piattaforme diverse, sono tutte molto più sicure degli SMS e molte utilizzano una forte crittografia end-to-end.

Anche se popolare, WhatsApp non è la scelta migliore per la privacy perché, sebbene utilizzi E2EE, permette a Facebook di raccogliere e abusare dei tuoi metadati(nuova finestra) — con chi parli, da dove, in che momento, quanto spesso e da quale dispositivo.

Non è colpa di queste app, ma non fanno nulla per proteggerti quando le aziende inviano i tuoi codici 2FA tramite SMS normali. La tua migliore difesa è utilizzare un’app autenticatrice 2FA come Authy(nuova finestra), Google Authenticator(nuova finestra), o le open-source andOTP(nuova finestra) o FreeOTP(nuova finestra) anziché il 2FA basato su SMS dove possibile. Purtroppo, questa opzione spesso non è disponibile.

Parole finali

Gli SMS sono fondamentalmente insicuri e dovrebbero essere evitati dove possibile. iMessage è buono se tutti i tuoi contatti lo usano anche, ma per la maggior parte delle persone, un’app di messaggistica di terze parti sicura che rispetti la tua privacy è quasi certamente la migliore opzione.

Scopri le migliori app di messaggistica che rispettano la tua privacy

In alternativa, puoi iscriverti a un account Proton Mail E2EE gratuito, utilizzato da milioni di persone in tutto il mondo per proteggere le loro conversazioni private.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.