لكن الرسائل النصية تستخدم للأمان ، أليس كذلك؟ هناك سبب لاعتماد كل بنك ومؤسسة مالية على رسائل SMS للتحقق من هويتك ، أليس كذلك؟
حسنًا ، نعم ، هناك سبب. لكن هذا السبب ليس بسبب الأمن. كل ما في الأمر أن كل شخص لديه رقم هاتف. يضيف طلب التأكيد عبر الرسائل القصيرة بعض الأمان الإضافي. حتى إذا لم تكن الرسائل القصيرة آمنة بشكل خاص ، فإنها على الأقل تضمن أن المهاجم يجب أن يعترض رسالة SMS بالإضافة إلى كتابة كلمة المرور الخاصة بك.
يمكن اعتراض رسائل SMS. ترتبط شبكات الهاتف المحمول حول العالم ببعضها البعض من خلال بروتوكول نظام التشوير رقم 7 (SS7). هذه هي الطريقة التي يمكن لهاتفك من خلالها الاتصال بشبكة خلوية وإجراء واستقبال المكالمات ، حتى عندما تكون في بلد آخر على الجانب الآخر من العالم.
تعرض نظام SS7 لهجمات متكررة من قبل المتسللين الذين تطفلوا على رسائل SMS أو اعترضوها. هذا مفيد بشكل خاص عند اختراق الحسابات المصرفية ، على سبيل المثال – يمكن للمهاجمين التطفل على رموز التحقق التي يتم إرسالها بشكل عام عبر الرسائل القصيرة ، واستخدامها للوصول إلى الحسابات المصرفية ، واستنزافها.
لهذا السبب أوصى متخصصو الأمن بعدم استخدام الرسائل القصيرة للمصادقة ذات العاملين . يعد التطبيق الذي ينشئ رموزًا على جهازك أو مفتاح أمان ماديًا أكثر مقاومة للرصاص. (ومع ذلك ، إذا كانت الرسائل القصيرة هي الخيار الوحيد المتاح لديك ، فإن الرسائل القصيرة أفضل من لا شيء .)
يمكن للسلطات مراقبة رسائل SMS
تتمتع الحكومات في جميع أنحاء العالم بإمكانية الوصول إلى ” الراي اللساع ” ، وهي أجهزة تمثل أساسًا برجًا خلويًا. عند وضعها بالقرب من موقعك الفعلي ، فإنها تخدع هاتفك للاتصال بها (حيث سيتصل هاتفك ببرج خلوي عادي). يمكن لجهاز الراي اللساع بعد ذلك تتبع تحركاتك ورؤية رسائلك النصية القصيرة – تمامًا مثل مشغل شبكة الجوال.
بعيدًا عن المراقبة المحلية ، يمكن أيضًا مسح الرسائل النصية القصيرة في أنظمة المراقبة الأكبر حجمًا. وفقًا للوثائق الصادرة عن إدوارد سنودن في عام 2014 ، كانت وكالة الأمن القومي ، في ذلك الوقت ، تجمع أكثر من 200 مليون رسالة نصية يوميًا من جميع أنحاء العالم.
تتمتع أجهزة الاستخبارات في البلدان الأخرى أيضًا بإمكانية الوصول إلى الراي اللساع وتكنولوجيا مراقبة الرسائل القصيرة ، لذلك من الواضح لماذا تحظى تطبيقات الاتصالات المشفرة مثل Signal و Telegram بشعبية خاصة بين النشطاء الذين يعيشون في ظل أنظمة قمعية. على سبيل المثال ، Telegram و Signal محظوران في إيران .
رقم هاتفك سهل الاختطاف بشكل مفاجئ
بخلاف الرسائل النصية القصيرة ، تتمتع أرقام الهواتف بأمان ضعيف للغاية – على مستوى شركة الاتصالات. يمكن للمخادع الاتصال بشركة الاتصالات الخلوية أو الذهاب إلى متجر وانتحال شخصيتك. إذا كان لدى المخادع تفاصيل كافية ويمكنه خداع ممثلي خدمة العملاء لمشغل شبكة الجوّال ، فيمكنه التحكم في رقم هاتفك. قد يكون لديهم شركة الاتصالات “إخراج” رقم هاتفك إلى شركة اتصالات خلوية مختلفة – تمامًا كما تفعل إذا كنت تقوم بالتبديل إلى مزود خدمة خلوي آخر. أو قد يطلبون من شركة الاتصالات إصدار بطاقة SIM جديدة مرتبطة برقم هاتفك وإلغاء تنشيط بطاقة SIM الحالية ، مما يؤدي إلى إزالة الوصول إلى رقم هاتفك.
الآن المهاجم لديه رقم هاتفك. مع ذلك ، يمكنهم الوصول إلى الحسابات المحمية بواسطة المصادقة الثنائية القائمة على الرسائل القصيرة. بالنسبة للمخادع الفردي ، فإن خداع موظف خدمة العملاء أسهل من اختراق SS7 ، بعد كل شيء. يُطلق على ذلك “عملية احتيال المنفذ” أو “هجوم تبديل بطاقة SIM”.
يمكنك غالبًا حماية رقم هاتفك عن طريق إضافة المزيد من أرقام التعريف الشخصية وميزات الأمان مع مزود الخدمة الخلوية. تحقق مع موفر الخدمة الخلوية لمعرفة ميزات الأمان التي يقدمونها للحماية من عمليات الاحتيال عبر المنفذ.
لقد حدث هذا لعدد غير قليل من الأشخاص — وهو ما يكفي لأن لجنة الاتصالات الفيدرالية (FCC) ومكتب الأعمال الأفضل (Better Business Bureau) قد وضعوا تحذيرات بشأن عملية الاحتيال هذه.
iMessage و RCS: أفضل من الرسائل القصيرة؟
يدعم تطبيق الرسائل على iPhone كلاً من الرسائل القصيرة وخدمة iMessage الخاصة بشركة Apple . على نظام Android ، تكتسب المزيد والمزيد من هواتف Android الدعم لمعيار خدمات الاتصالات الغنية (RCS) الأكثر حداثة . تم تصميم كلاهما “لترقية” محادثات الرسائل النصية بصمت إلى محادثات أكثر حداثة وأمانًا عندما يستخدم كلا الشخصين أجهزة تدعمها. فكيف يقارنون بالرسائل النصية القصيرة؟
تظهر رسائل iMessage من Apple على الرسائل القصيرة بمعنى ما ، باستخدام أرقام الهواتف كمعرفات. إذا كنت أنت والشخص الذي تريد إرسال الرسائل النصية بهما أجهزة iPhone وقمت بتمكين iMessage ، فسيتم إرسال أي نص ترسله كرسالة iMessage بدلاً من ذلك. يتم تشفيرها من طرف إلى طرف وإرسالها عبر خوادم Apple. ستعرف أن iMessage قيد الاستخدام لأن الرسائل ستحتوي على فقاعات زرقاء . إذا رأيت فقاعات خضراء بدلاً من ذلك ، فإن تطبيق الرسائل يستخدم الرسائل القصيرة بدلاً من ذلك – لأنك تراسل شخصًا ما بدون iMessage ، ومن المحتمل أنه شخص من مستخدمي Android.
معيار RCS الذي يتم دفعه لمستخدمي Android – فكر في الأمر على أنه مكافئ Google / Android لـ iMessage من Apple – لم يدعم التشفير من طرف إلى طرف اعتبارًا من يناير 2021. اعتبارًا من نوفمبر 2020 ، كانت Google تعمل على إضافة النهاية إلى- تشفير النهاية لـ RCS . هذا يعني أنه حتى مع نظام RCS الجديد الرائع على هاتف Android الخاص بك ، لا يزال بإمكان مشغل شبكة الجوّال رؤية محتويات الرسائل التي ترسلها ، تمامًا كما هو الحال مع الرسائل القصيرة.
مشاكل الرسائل القصيرة ، ملخصة
دعنا نلخص مشكلات الرسائل القصيرة بسرعة ونقارنها بتطبيق محادثة آمن ومشفّر من طرف إلى طرف مثل Signal.
مع الرسائل القصيرة:
- يمكن لمشغل شبكة الجوّال رؤية محتويات الرسائل التي ترسلها وتستقبلها. يمكن استدعاء أي سجلات تم جمعها في الإجراءات القانونية.
- يمكن للمخترقين اعتراض رسائل SMS بسبب نقاط الضعف في البروتوكول القديم المتهالك الذي يشغّلهم. هذا يعرض الحسابات المالية والحسابات الأخرى للخطر.
- يمكن للسلطات نشر الراي اللساع للتطفل على محتويات الرسائل النصية في منطقة ما.
- يمكن للمحتالين محاولة سرقة رقم هاتفك الخلوي عن طريق خداع موظفي خدمة العملاء بمزود الخدمة الخلوية.
باستخدام Signal ، على سبيل المثال:
- لا يستطيع مشغل شبكة الجوال رؤية محتويات رسائلك. حتى تطبيق Signal لا يمكنه رؤية محتويات رسائلك أو من تتصل به – وهذا يظل سراً. لا يجمع Signal هذه البيانات. إذا تم فرض الأمر بموجب أمر استدعاء ، فلن يكشف تطبيق Signal عن أي شيء تقريبًا عن استخدامك للخدمة.
- لا يمكن للمخترقين اختراق رسائل الإشارات بشكل واقعي. سيتعين عليهم التنازل عن بروتوكول تشفير الإشارة ، والذي يعتبره خبراء الأمن ممتازًا. (في المقابل ، تم اختراق SS7 بشكل متكرر.)
- الراي اللساع لا يمكنه رؤية محادثاتك. لا يمكن للسلطات التطفل على محتوى رسائل تطبيق Signal – ليس بدون وضع أيديهم على هاتف يحتوي عليها. كل ما يمكنهم رؤيته هو حركة مرور مشفرة يتم إرسالها ذهابًا وإيابًا إلى خوادم Signal.
- لن تمنح عملية احتيال المنفذ التي تلتقط رقم هاتفك حق الوصول إلى حسابك على Signal. يمكنك حماية حسابك على Signal برقم PIN ، لذلك لا يمكن للمخادع الوصول إلى حسابك على Signal فقط. حتى إذا تمكن المخادع بطريقة ما من تخمين رقم التعريف الشخصي الخاص بك والوصول إلى حسابك على Signal ، فسيتم تخزين رسائل تطبيق Signal على هاتفك ولن تتم مزامنتها مع أي أجهزة جديدة يمكنها الوصول إلى حسابك.
ما يجب عليك استخدامه بدلا من ذلك
استخدمنا Signal كمثال هنا لأن التباين صارخ للغاية – Signal هو تطبيق الدردشة الخاص الأكثر موصى به على نطاق واسع ، مع تشفير دائم من طرف إلى طرف .
إذا كان لديك جهاز iPhone ، فإن الاتصال بـ iMessage يكون أكثر خصوصية وأمانًا من استخدام رسائل SMS القديمة. نأمل أن يحصل مستخدمو Android يومًا ما على رسائل آمنة ومشفرة من طرف إلى طرف مضمنة في أجهزتهم بعد إجراء التحسينات على RCS. لسوء الحظ ، لا يتوافق iMessage و RCS مع بعضهما البعض ، لذا سيتعين على هواتف iPhone و Android الاتصال عبر الرسائل القصيرة – أو التبديل إلى تطبيقات دردشة مختلفة غير مدمجة.
تعد تطبيقات الدردشة الأخرى خيارًا أيضًا. Telegram شائع ، على الرغم من أنه لا يستخدم التشفير من طرف إلى طرف افتراضيًا. يستخدم WhatsApp على الأقل التشفير من طرف إلى طرف افتراضيًا ، على عكس Facebook Messenger – إذا كنت تثق في تطبيق دردشة يديره Facebook. ولكن يمكن القول إن Facebook Messenger أكثر أمانًا من الرسائل القصيرة – فأنت تثق في Facebook برسائلك ، ولكن على الأقل لا داعي للقلق بشأن المشكلات الموجودة في بروتوكول SS7 القديم والصادم.
للحصول على أمان ثنائي ، من الأفضل تجنب الرسائل القصيرة للمهام الحرجة حقًا. لسوء الحظ ، ستعود بعض الخدمات إلى مصادقة الرسائل القصيرة على أي حال – للراحة. هناك بدائل في بعض الأحيان. على سبيل المثال ، تقدم Google الحماية المتقدمة للصحفيين والنشطاء وقادة الأعمال والسياسيين الذين يحتاجون إلى أقصى درجات الأمان لحساباتهم ، وتتطلب استخدام مفتاح أمان مادي . ومع ذلك ، لا يزال الأمان الثنائي القائم على الرسائل القصيرة أفضل من لا شيء.
مستقبل الرسائل القصيرة: هل سيتم إصلاحها؟
الرسائل القصيرة هي مجرد تقنية قديمة. من الواضح أنه لم يتم تصميمه مع مراعاة الخصوصية والأمان ، ولا تزال قرارات التصميم هذه قائمة حتى اليوم.
نأمل أن يتم إصلاح هذا في المستقبل. إذا أصبح RCS أكثر نضجًا ، واكتسب تشفيرًا من طرف إلى طرف ، وأصبح متاحًا في جميع هواتف Android – حسنًا ، فكل ما يتعين على Apple فعله هو الموافقة على جعل RCS متوافقًا مع iMessage بطريقة ما. بعد ذلك ، ستحتوي جميع الهواتف الذكية الحديثة على رسائل آمنة لا تعتمد على البروتوكولات القديمة المضمنة.