Proton
Iscriviti con RSS

Perché dovresti smettere di usare gli SMS

Condividi questa pagina

Il servizio di messaggi brevi (SMS), noto anche semplicemente come messaggistica di testo, è presente fin dalla nascita dei telefoni cellulari (il primo messaggio di testo è stato inviato sulla rete Vodafone(nuova finestra) nel 1992).

Gli SMS sono supportati da quasi ogni operatore di telefonia mobile nel mondo, con oltre due trilioni(nuova finestra) di messaggi SMS inviati solo negli Stati Uniti nel 2020. Infatti, gli Stati Uniti rimangono una roccaforte dell’uso degli SMS(nuova finestra), andando contro la crescente tendenza in altri paesi di utilizzare alternative basate su internet come WhatsApp e Telegram.

Il grande vantaggio degli SMS è che sono universali — sono presenti sui telefoni di tutti, permettendoti di inviare messaggi a chiunque, indipendentemente dal fatto che utilizzino un iPhone o un telefono Android, o che usino una delle molte app di messaggistica di terze parti in concorrenza.

Tuttavia, a differenza delle email crittografate, gli SMS sono stati sviluppati prima che si considerasse persino la necessità di garantire che le comunicazioni fossero sicure e private. Il risultato è che i messaggi SMS sono un libro aperto, facilmente leggibili dal tuo operatore di telefonia mobile, dal tuo governo e dagli hacker criminali.

Questo è reso ancora più spaventoso dal fatto che i codici di autenticazione a due fattori (2FA) vengono regolarmente inviati tramite SMS.

Nessuna privacy dal tuo operatore di telefonia mobile

I messaggi SMS non sono in alcun modo crittografati, quindi il tuo operatore di telefonia mobile può leggere ogni messaggio che invii e ricevi. Possono anche consegnare queste informazioni a terze parti.

Negli Stati Uniti, ad esempio, l’Electronic Communications Privacy Act(nuova finestra) consente alla polizia di accedere liberamente ai messaggi SMS che hanno più di 180 giorni. Per accedere ai messaggi SMS inviati più di recente di 180 giorni, è richiesto un mandato.

Il problema con SS7

“Gli hacker possono sfruttare le vulnerabilità di SS7 per tracciare gli americani, intercettare le loro chiamate e messaggi, hackerare i loro telefoni per rubare informazioni finanziarie, sapere quando sono a casa o fuori, e in generale predare consumatori ignari. Inoltre, secondo molteplici reportage, i prodotti per lo spionaggio SS7 sono ampiamente disponibili sia per criminali che per governi stranieri”.

Il senatore Ron Wyden(nuova finestra) (D-Ore.) nel 2018 dopo aver ricevuto una lettera dal Dipartimento della Sicurezza Interna(nuova finestra) che avvisava che “attori malintenzionati potrebbero aver sfruttato” le reti cellulari globali “per prendere di mira le comunicazioni dei cittadini americani”.

Il Sistema di Segnalazione N. 7(nuova finestra) (SS7) è un insieme di protocolli di segnalazione telefonica che sono alla base delle reti di telefonia mobile in tutto il mondo. Permette alle reti telefoniche di comunicare tra di loro per connettere gli utenti e passare messaggi tra le reti, garantire una fatturazione corretta e consente agli utenti di utilizzare altre reti in roaming. È anche utilizzato per facilitare la messaggistica SMS.

Un ammasso ingombrante di tecnologie obsolete risalenti agli anni ’70, ben prima che a qualcuno venisse in mente di integrare misure di sicurezza, il SS7 è noto per essere altamente insicuro(nuova finestra) almeno dal 2008. Ma nonostante una serie di esempi molto noti di quanto sia pericolosa la situazione, non è ancora stato fatto nulla per migliorare la sicurezza di SS7.

  • Nel 2014, gli hacker hanno utilizzato SS7 per registrare una conversazione confidenziale(nuova finestra) tra l’ambasciatore degli Stati Uniti in Ucraina, Geoffrey Pyatt, e l’assistente segretario di Stato degli USA, Victoria Nuland, in cui Pyatt era molto critico nei confronti dell’UE.
  • Nel 2016, un ricercatore di sicurezza ha mostrato come gli hacker con accesso alla rete SS7 possono falsificare le identità degli utenti(nuova finestra) per accedere ai messaggi appartenenti agli utenti di molte app di messaggistica che si affidano ai numeri di telefono per l’autenticazione.
  • Nel 2017, il congressista statunitense Ted Lieu ha chiesto un’indagine del comitato di sorveglianza su SS7 in quanto rappresentava un rischio per la sicurezza nazionale. La FCC ha condotto un’indagine(nuova finestra), ma il gruppo di lavoro incaricato del compito era composto principalmente da lobbisti dell’industria delle telecomunicazioni e non da un singolo esperto accademico.
  • Sempre nel 2017, è stato riportato che gli hacker stavano utilizzando SS7 per intercettare i codici 2FA(nuova finestra) inviati tramite SMS per proteggere i conti bancari, risultando nel prosciugamento di conti bancari reali.
  • Nel 2020, l’Arabia Saudita è stata accusata di sfruttare la rete SS7 per condurre una campagna di spionaggio sistematica(nuova finestra) negli Stati Uniti.

E questi casi(nuova finestra) sono solo(nuova finestra) la punta(nuova finestra) dell’iceberg(nuova finestra). Una delle spiegazioni più credibili(nuova finestra) per cui questa situazione è permessa di continuare è che governi e agenzie di legge in tutto il mondo trovano troppo prezioso il vasto tesoro di informazioni personali disponibili attraverso la rete SS7 per desiderare un vero cambiamento.

Ovviamente, i problemi con SS7 sono molto più profondi del semplice permettere a governi, hacker e chi sa chi altro, di avere accesso illimitato a tutti i messaggi SMS del pianeta. Ma è un problema.

Attento agli attacchi di SIM swapping

I fornitori di rete mobile possono trasferire senza problemi i numeri di telefono da una SIM card all’altra. Questo permette loro di assistere i clienti i cui telefoni sono stati rubati e consente ai clienti di cambiare fornitori di rete.

Un attacco di SIM swapping consente agli hacker di sfruttare questo processo in modo che il numero di telefono di una vittima venga trasferito in modo fraudolento sulla loro SIM card. Questo si ottiene solitamente o utilizzando l’ingegneria sociale per ingannare l’operatore mobile facendogli credere che l’hacker sia il cliente genuino, o tramite dipendenti corrotti della rete mobile.

Il maggior pericolo degli attacchi di SIM swapping è che permettono agli hacker criminali di intercettare i codici 2FA inviati tramite SMS al tuo numero di telefono.

Questo è diventato un problema sempre più preoccupante, recentemente portando l’FBI degli Stati Uniti a rilasciare un annuncio di servizio pubblico(nuova finestra) avvertendo che gli attacchi di SIM swapping sono aumentati 15 volte negli ultimi due anni, risultando in perdite corrette negli Stati Uniti di più di 68 milioni di dollari nel 2021.

Vale anche la pena notare che, poiché i messaggi SMS non sono criptati in alcun modo, qualsiasi malware installato sul tuo telefono avrà pieno accesso ad essi.

iMessage e RCS sono soluzioni migliori?

iMessage

iMessage è il tentativo di Apple di sostituire gli SMS con un’alternativa moderna e sicura basata su Internet. Utilizza la crittografia end-to-end, ma solo quando i messaggi sono inviati ad altri utenti Apple. Va notato che non c’è motivo tecnico per cui iMessage non possa essere rilasciato anche su Android — il fatto che non lo sia è una pura decisione di marketing di Apple.

Considerando che Android ha una quota di mercato dei sistemi operativi mobili superiore al 70%(nuova finestra) in tutto il mondo, questo è un serio problema, che porta a ignorare largamente iMessage nella maggior parte del mondo a favore di alternative agnostiche alla piattaforma.

Negli Stati Uniti, dove gli iPhone rappresentano oltre il 50% del mercato(nuova finestra), iMessage rimane più rilevante, ma significa comunque che i messaggi a quasi metà della popolazione non sono più sicuri di quelli inviati tramite SMS regolare.

Importante per un servizio che spera di sostituire gli SMS, i codici 2FA vengono invariabilmente inviati tramite SMS regolare e quindi non sono protetti dalla crittografia di iMessage. In aggiunta a ciò, per impostazione predefinita, gli iMessage vengono salvati su iCloud senza crittografia end-to-end(nuova finestra), il che significa che, per impostazione predefinita, Apple può accedere ai tuoi messaggi indipendentemente dal fatto che siano inviati utilizzando E2EE.

Detto questo, se i tuoi contatti hanno tutti iPhone e se disabiliti i backup di iCloud, allora iMessage è senza dubbio un miglioramento rispetto agli SMS.

RCS

I Rich Communication Services(nuova finestra) (RCS) sono un protocollo di comunicazione aperto che offre la maggior parte dei vantaggi di iMessage, incluso il supporto multimediale, gruppi persistenti, condivisione di grandi file multimediali e altro ancora.

Non è un protocollo di Google, ma Google ora implementa RCS nell’app Android Messages. Anche se non crittografato end-to-end per impostazione predefinita, Google ha sviluppato un’estensione che fornisce E2EE quando si utilizza RCS.

Google ha chiesto ad Apple di integrare lo standard in iMessage(nuova finestra) affinché tutti possano beneficiare di una piattaforma di messaggistica più sicura, ma Apple si è rifiutata di considerare una tale mossa(nuova finestra).

Questo lascia RCS in una posizione simile a iMessage, dove il suo potenziale di migliorare la situazione degli SMS è limitato dalla sua mancanza di compatibilità cross-platform.

Alternative sicure agli SMS

Nella maggior parte del mondo, le app di messaggistica di terze parti basate su Internet, come WhatsApp, Signal, Telegram e persino Facebook Messenger, stanno sostituendo sempre più gli SMS.

Queste app hanno il vantaggio di permetterti di inviare messaggi a contatti su piattaforme diverse, sono tutte molto più sicure degli SMS e molte utilizzano una forte crittografia end-to-end.

Anche se popolare, WhatsApp non è la scelta migliore per la privacy perché, sebbene utilizzi E2EE, permette a Facebook di raccogliere e abusare dei tuoi metadati(nuova finestra) — con chi parli, da dove, in che momento, quanto spesso e da quale dispositivo.

Non è colpa di queste app, ma non fanno nulla per proteggerti quando le aziende inviano i tuoi codici 2FA tramite SMS normali. La tua migliore difesa è utilizzare un’app autenticatrice 2FA come Authy(nuova finestra), Google Authenticator(nuova finestra), o le open-source andOTP(nuova finestra) o FreeOTP(nuova finestra) anziché il 2FA basato su SMS dove possibile. Purtroppo, questa opzione spesso non è disponibile.

Parole finali

Gli SMS sono fondamentalmente insicuri e dovrebbero essere evitati dove possibile. iMessage è buono se tutti i tuoi contatti lo usano anche, ma per la maggior parte delle persone, un’app di messaggistica di terze parti sicura che rispetti la tua privacy è quasi certamente la migliore opzione.

Scopri le migliori app di messaggistica che rispettano la tua privacy

In alternativa, puoi iscriverti a un account Proton Mail E2EE gratuito, utilizzato da milioni di persone in tutto il mondo per proteggere le loro conversazioni private.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

how to create a business email account
en
This article explains how to create a business email account that’s secure by default using Proton Mail.
A cover image for a Proton blog about how to safely share your wifi password - image shows a wifi symbol with a button saying 'share' with a key symbol
en
Is it safe to share Wi-Fi passwords in a text? Here’s how to share your Wi-Fi password easily and securely on any device, from any location.
A Proton blog cover image showing a phone screen with an empty one time password code field
en
  • Guide sulla privacy
What is a one time password?
One time passwords are a common method for authenticating your identity – are they safe? We explain what they are and how to use them safely.
en
In response to popular demand, our privacy-first AI writing assistant Proton Scribe is now available for free on our Duo and Family plans, in nine different languages.
en
  • Guide sulla privacy
How does Bitcoin work?
It’s easy to understand Bitcoin if you know a few simple concepts. This article explains how Bitcoin works and how to start using it.
A collection of images demonstrating the in-product experience for Proton Drive cloud storage for Business
en
  • Per le aziende
  • Aggiornamenti dei prodotti
  • Proton Drive
Proton Drive now offers secure cloud storage and docs editor for businesses
Proton Drive provides private and secure file sharing, document editing, and cloud storage for businesses of all sizes. Take control of your company's data.