Скрытые угрозы SMS: сотовый оператор знает слишком много

Скрытые угрозы SMS: сотовый оператор знает слишком много

Темная Сторона Интернета

Рассказываем о потенциальной угрозе безопасности и приватности при использовании SMS.


«Исторически так сложилось»

Кто впервые сталкивался с мобильным телефоном, помимо звонков, узнавал о наличии коротких текстовых сообщений. И если изначально сообщения чаще использовались для обмена информацией без участия живого оператора (вспоминаем пейджер), то теперь они превратились в главный инструмент уведомлений и верификаций.

Результат: 87% используют SMS. Не всем очевидно, но ответ «Только для получения уведомлений» угрожает приватности ещё больше, чем SMS-переписка с кем-то, у кого нет мессенджеров. Поздравляя родственника с праздниками, вы задумываетесь, о чём пишете. Кто отправляют уведомления — нет.

Выборка скромная, но в больших цифрах разница окажется несущественной.


Угроза №1: Несанкционированные расходы

Регулярно появляются рассказы об автоматических подписках на платные сервисы. В прошлом месяце на Хабре говорили про Мегафон:

Год назад про МТС на Медузе:

Для понимания масштаба проблемы:


Угроза №2: Безопасность аккаунтов

Вы теряете SIM-карту, обращаетесь с паспортом в салон сотового оператора, сотрудник за минуту выдаёт новую карточку с вашим номером. Обычный сценарий? То же самое он может сделать и по собственной воле без вашего ведома, если выгода превысит последствия и вероятность наказания.

Но заметно более популярен перевыпуск SIM-карт по поддельной доверенности. Осознавая проблему, сотовые операторы предлагают защититься запретом действий от имени абонента по доверенности. Хотя могли бы решить проблему глобально, установив запрет по умолчанию.

Попав в чужие руки, ваш номер становится ключом к почте, мессенджерам, множеству платёжных инструментов. То есть везде, где используется восстановление доступа или верификация через SMS.

Относительно хорошая новость в том, что большинство современных банков умеет отслеживать факт смены SIM-карты, а значит — не впустят в интернет-банк, и не пришлют код подтверждения онлайн-платежа. По крайне мере до тех пор, пока вы не подтвердите смену карточки в отделении или по телефону. Но не забываем, что записи по «пакету Яровой» хранятся у оператора полгода, а там, среди прочего, есть и ваши ответы на «секретные вопросы».

Получить контроль над вашими SMS могут и силовые ведомства, о чем мы уже рассказывали ранее. Без перевыпуска SIM-карты и абсолютно незаметно для абонента.


Угроза 3: Приватность

Вот тут самое интересное.

Уведомления от компаний: онлайн-сервисы, рестораны, клубы, клиники, магазины, службы доставки, каршэринг. Многие подписывают свои сообщения, а значит можно сразу определить, какими сервисами пользуется клиент. Сколько личной информации содержится в таких сообщениях, можете представить сами.

Уведомления от банков. Из таких сообщений можно получить информацию:

• об остатках на счетах;

• о снятиях и пополнениях в разных банкоматах;

• о вашем общем обороте за любой период;

• о вкладах: размере, сроке, выплаченных процентах;

• об одобренных кредитах, платежах по ним и задолженностях;

• о выпущенных картах, о части их цифр, а иногда часть или целый пин-код;

• о всех транзакциях пользователя, его покупках;

• об оплате счетов;

• о переводах другим людям, включая их имена и номера счетов.

И вот то, что сохраняет оператор, не защищено никакой «банковской тайной».

Собранная информация позволяет составить доскональный и персонализированный профиль клиента. Для аналитики не требуется много ресурсов: текстовая информация по шаблонам, ключевым словам и типе адресата легко обрабатывается алгоритмами.

Подобный профиль предоставляет практически безграничные возможности оператору и кому-либо еще, получившему несанкционированный доступ, включая утечку базы данных.

Про утечки информации на @dataleak

Откройте свои SMS и посмотрите, какой информацией вы делитесь с оператором в открытом виде.

Сколько хранятся архивы SMS? Согласно расследованию Mobile-Review — 3 года, по информации Максима Каца — как минимум 2 года.


Слезаем с иглы SMS — будет непросто

Финансовые операции

Переходим на использование Push-уведомлений вместо SMS.

Пример сценария от Альфа-Банка:

Аналогичная процедура доступна в большинстве других банков с мобильными приложениями.

Подтверждения входа в сервисах

Используем приложения верификации в смартфоне (Google Authenticator и аналоги), смарт-карты, токены или как минимум подтверждение по e-mail надёжного почтового сервиса.

Общение

Всех, с кем вы общаетесь через SMS, можно пересадить на безопасные или относительно безопасные мессенджеры зарубежного производства. Покажите им лично, что пользоваться мессенджерами не страшно и не больно.


Два более радикальных варианта

На обсуждение.

Использование зарубежной SIM-карты

Несколько сомнений в надежности этого варианта:

  • Доступны ли эти SMS в открытом виде локальному оператору, который обслуживает в роуминге иностранный номер?
  • Хранит и должен ли он хранить их по закону?
  • Обязан ли предоставлять информацию о сообщениях на такие номера по запросу?

Если кто-то хочет рассказать о «внутренней кухне» этих вопросов, но не готов сделать это в публичных комментариях, можно анонимно написать в наш телеграм-бот с пометкой «для Хабра». По вашему разрешению мы добавим обезличенную информацию в статью.

Полный отказ от SMS

Пока сложно представить, как с этим жить. Но в нашем голосовании этот вариант набрал 13%…
Сможете ли вы полностью отказаться от SMS?

Источник: habr.com

Черный Рынок - название говорит само за себя. Оригинальная одежда и техника за половину стоимости.

Дурман - наркотики и их медицинское употребление, увлекательные трип-репорты, виды веществ, их свойства и последствия употребления.

привет, я Марк - мой личный блог, будни злого кардера-алкоголика. Спасибо за внимание!