Proton

Il servizio di messaggi brevi (SMS), noto anche semplicemente come messaggistica di testo, è presente fin dalla nascita dei telefoni cellulari (il primo messaggio di testo è stato inviato sulla rete Vodafone(nuova finestra) nel 1992).

Gli SMS sono supportati da quasi ogni operatore di telefonia mobile nel mondo, con oltre due trilioni(nuova finestra) di messaggi SMS inviati solo negli Stati Uniti nel 2020. Infatti, gli Stati Uniti rimangono una roccaforte dell’uso degli SMS(nuova finestra), andando contro la crescente tendenza in altri paesi di utilizzare alternative basate su internet come WhatsApp e Telegram.

Il grande vantaggio degli SMS è che sono universali — sono presenti sui telefoni di tutti, permettendoti di inviare messaggi a chiunque, indipendentemente dal fatto che utilizzino un iPhone o un telefono Android, o che usino una delle molte app di messaggistica di terze parti in concorrenza.

Tuttavia, a differenza delle email crittografate, gli SMS sono stati sviluppati prima che si considerasse persino la necessità di garantire che le comunicazioni fossero sicure e private. Il risultato è che i messaggi SMS sono un libro aperto, facilmente leggibili dal tuo operatore di telefonia mobile, dal tuo governo e dagli hacker criminali.

Questo è reso ancora più spaventoso dal fatto che i codici di autenticazione a due fattori (2FA) vengono regolarmente inviati tramite SMS.

Nessuna privacy dal tuo operatore di telefonia mobile

I messaggi SMS non sono in alcun modo crittografati, quindi il tuo operatore di telefonia mobile può leggere ogni messaggio che invii e ricevi. Possono anche consegnare queste informazioni a terze parti.

Negli Stati Uniti, ad esempio, l’Electronic Communications Privacy Act(nuova finestra) consente alla polizia di accedere liberamente ai messaggi SMS che hanno più di 180 giorni. Per accedere ai messaggi SMS inviati più di recente di 180 giorni, è richiesto un mandato.

Il problema con SS7

“Gli hacker possono sfruttare le vulnerabilità di SS7 per tracciare gli americani, intercettare le loro chiamate e messaggi, hackerare i loro telefoni per rubare informazioni finanziarie, sapere quando sono a casa o fuori, e in generale predare consumatori ignari. Inoltre, secondo molteplici reportage, i prodotti per lo spionaggio SS7 sono ampiamente disponibili sia per criminali che per governi stranieri”.

Il senatore Ron Wyden(nuova finestra) (D-Ore.) nel 2018 dopo aver ricevuto una lettera dal Dipartimento della Sicurezza Interna(nuova finestra) che avvisava che “attori malintenzionati potrebbero aver sfruttato” le reti cellulari globali “per prendere di mira le comunicazioni dei cittadini americani”.

Il Sistema di Segnalazione N. 7(nuova finestra) (SS7) è un insieme di protocolli di segnalazione telefonica che sono alla base delle reti di telefonia mobile in tutto il mondo. Permette alle reti telefoniche di comunicare tra di loro per connettere gli utenti e passare messaggi tra le reti, garantire una fatturazione corretta e consente agli utenti di utilizzare altre reti in roaming. È anche utilizzato per facilitare la messaggistica SMS.

Un ammasso ingombrante di tecnologie obsolete risalenti agli anni ’70, ben prima che a qualcuno venisse in mente di integrare misure di sicurezza, il SS7 è noto per essere altamente insicuro(nuova finestra) almeno dal 2008. Ma nonostante una serie di esempi molto noti di quanto sia pericolosa la situazione, non è ancora stato fatto nulla per migliorare la sicurezza di SS7.

  • Nel 2014, gli hacker hanno utilizzato SS7 per registrare una conversazione confidenziale(nuova finestra) tra l’ambasciatore degli Stati Uniti in Ucraina, Geoffrey Pyatt, e l’assistente segretario di Stato degli USA, Victoria Nuland, in cui Pyatt era molto critico nei confronti dell’UE.
  • Nel 2016, un ricercatore di sicurezza ha mostrato come gli hacker con accesso alla rete SS7 possono falsificare le identità degli utenti(nuova finestra) per accedere ai messaggi appartenenti agli utenti di molte app di messaggistica che si affidano ai numeri di telefono per l’autenticazione.
  • Nel 2017, il congressista statunitense Ted Lieu ha chiesto un’indagine del comitato di sorveglianza su SS7 in quanto rappresentava un rischio per la sicurezza nazionale. La FCC ha condotto un’indagine(nuova finestra), ma il gruppo di lavoro incaricato del compito era composto principalmente da lobbisti dell’industria delle telecomunicazioni e non da un singolo esperto accademico.
  • Sempre nel 2017, è stato riportato che gli hacker stavano utilizzando SS7 per intercettare i codici 2FA(nuova finestra) inviati tramite SMS per proteggere i conti bancari, risultando nel prosciugamento di conti bancari reali.
  • Nel 2020, l’Arabia Saudita è stata accusata di sfruttare la rete SS7 per condurre una campagna di spionaggio sistematica(nuova finestra) negli Stati Uniti.

E questi casi(nuova finestra) sono solo(nuova finestra) la punta(nuova finestra) dell’iceberg(nuova finestra). Una delle spiegazioni più credibili(nuova finestra) per cui questa situazione è permessa di continuare è che governi e agenzie di legge in tutto il mondo trovano troppo prezioso il vasto tesoro di informazioni personali disponibili attraverso la rete SS7 per desiderare un vero cambiamento.

Ovviamente, i problemi con SS7 sono molto più profondi del semplice permettere a governi, hacker e chi sa chi altro, di avere accesso illimitato a tutti i messaggi SMS del pianeta. Ma è un problema.

Attento agli attacchi di SIM swapping

I fornitori di rete mobile possono trasferire senza problemi i numeri di telefono da una SIM card all’altra. Questo permette loro di assistere i clienti i cui telefoni sono stati rubati e consente ai clienti di cambiare fornitori di rete.

Un attacco di SIM swapping consente agli hacker di sfruttare questo processo in modo che il numero di telefono di una vittima venga trasferito in modo fraudolento sulla loro SIM card. Questo si ottiene solitamente o utilizzando l’ingegneria sociale per ingannare l’operatore mobile facendogli credere che l’hacker sia il cliente genuino, o tramite dipendenti corrotti della rete mobile.

Il maggior pericolo degli attacchi di SIM swapping è che permettono agli hacker criminali di intercettare i codici 2FA inviati tramite SMS al tuo numero di telefono.

Questo è diventato un problema sempre più preoccupante, recentemente portando l’FBI degli Stati Uniti a rilasciare un annuncio di servizio pubblico(nuova finestra) avvertendo che gli attacchi di SIM swapping sono aumentati 15 volte negli ultimi due anni, risultando in perdite corrette negli Stati Uniti di più di 68 milioni di dollari nel 2021.

Vale anche la pena notare che, poiché i messaggi SMS non sono criptati in alcun modo, qualsiasi malware installato sul tuo telefono avrà pieno accesso ad essi.

iMessage e RCS sono soluzioni migliori?

iMessage

iMessage è il tentativo di Apple di sostituire gli SMS con un’alternativa moderna e sicura basata su Internet. Utilizza la crittografia end-to-end, ma solo quando i messaggi sono inviati ad altri utenti Apple. Va notato che non c’è motivo tecnico per cui iMessage non possa essere rilasciato anche su Android — il fatto che non lo sia è una pura decisione di marketing di Apple.

Considerando che Android ha una quota di mercato dei sistemi operativi mobili superiore al 70%(nuova finestra) in tutto il mondo, questo è un serio problema, che porta a ignorare largamente iMessage nella maggior parte del mondo a favore di alternative agnostiche alla piattaforma.

Negli Stati Uniti, dove gli iPhone rappresentano oltre il 50% del mercato(nuova finestra), iMessage rimane più rilevante, ma significa comunque che i messaggi a quasi metà della popolazione non sono più sicuri di quelli inviati tramite SMS regolare.

Importante per un servizio che spera di sostituire gli SMS, i codici 2FA vengono invariabilmente inviati tramite SMS regolare e quindi non sono protetti dalla crittografia di iMessage. In aggiunta a ciò, per impostazione predefinita, gli iMessage vengono salvati su iCloud senza crittografia end-to-end(nuova finestra), il che significa che, per impostazione predefinita, Apple può accedere ai tuoi messaggi indipendentemente dal fatto che siano inviati utilizzando E2EE.

Detto questo, se i tuoi contatti hanno tutti iPhone e se disabiliti i backup di iCloud, allora iMessage è senza dubbio un miglioramento rispetto agli SMS.

RCS

I Rich Communication Services(nuova finestra) (RCS) sono un protocollo di comunicazione aperto che offre la maggior parte dei vantaggi di iMessage, incluso il supporto multimediale, gruppi persistenti, condivisione di grandi file multimediali e altro ancora.

Non è un protocollo di Google, ma Google ora implementa RCS nell’app Android Messages. Anche se non crittografato end-to-end per impostazione predefinita, Google ha sviluppato un’estensione che fornisce E2EE quando si utilizza RCS.

Google ha chiesto ad Apple di integrare lo standard in iMessage(nuova finestra) affinché tutti possano beneficiare di una piattaforma di messaggistica più sicura, ma Apple si è rifiutata di considerare una tale mossa(nuova finestra).

Questo lascia RCS in una posizione simile a iMessage, dove il suo potenziale di migliorare la situazione degli SMS è limitato dalla sua mancanza di compatibilità cross-platform.

Alternative sicure agli SMS

Nella maggior parte del mondo, le app di messaggistica di terze parti basate su Internet, come WhatsApp, Signal, Telegram e persino Facebook Messenger, stanno sostituendo sempre più gli SMS.

Queste app hanno il vantaggio di permetterti di inviare messaggi a contatti su piattaforme diverse, sono tutte molto più sicure degli SMS e molte utilizzano una forte crittografia end-to-end.

Anche se popolare, WhatsApp non è la scelta migliore per la privacy perché, sebbene utilizzi E2EE, permette a Facebook di raccogliere e abusare dei tuoi metadati(nuova finestra) — con chi parli, da dove, in che momento, quanto spesso e da quale dispositivo.

Non è colpa di queste app, ma non fanno nulla per proteggerti quando le aziende inviano i tuoi codici 2FA tramite SMS normali. La tua migliore difesa è utilizzare un’app autenticatrice 2FA come Authy(nuova finestra), Google Authenticator(nuova finestra), o le open-source andOTP(nuova finestra) o FreeOTP(nuova finestra) anziché il 2FA basato su SMS dove possibile. Purtroppo, questa opzione spesso non è disponibile.

Parole finali

Gli SMS sono fondamentalmente insicuri e dovrebbero essere evitati dove possibile. iMessage è buono se tutti i tuoi contatti lo usano anche, ma per la maggior parte delle persone, un’app di messaggistica di terze parti sicura che rispetti la tua privacy è quasi certamente la migliore opzione.

Scopri le migliori app di messaggistica che rispettano la tua privacy

In alternativa, puoi iscriverti a un account Proton Mail E2EE gratuito, utilizzato da milioni di persone in tutto il mondo per proteggere le loro conversazioni private.

Articoli correlati

en
Find out how a password manager works, what it does, and how Proton Pass keeps your private information secure.
An image of a mortarboard cap, logos for Proton Drive, Mail, VPN, Pass, and Calendar, and a password field on a blog offering student discounts for all Proton products
en
  • Aggiornamenti dei prodotti
  • News di Proton
As students build their lives online, Proton makes it safe for them to access educational resources, communicate with each other, and share knowledge online safely.
The cover image for a blog introducing the new Pass Family plan. Text saying 'Introducing Pass Family' next to an image of a family sitting together on their laptops
en
  • Aggiornamenti dei prodotti
  • Proton Pass
Pass Family helps you manage the passwords and logins of up to six family members and gives you more time to spend with your family.
Salt Typhoon
en
Chinese hackers have compromised US national security by exploiting government-mandated “backdoors”. The EU should learn from this.
An illustration of a laptop with chains and a padlock on the screen to represent a ransomware attack
en
A ransomware attack is a serious threat for an organization. Here's what they are, how to avoid them, and 11 of the most well-known incidents.
Is Google Calendar private
en
This article explores what’s at stake when you use Google Calendar, and how using Proton Calendar gives you control over your data.