Bạn có thể nghĩ rằng chuyển từ Facebook Messenger sang tin nhắn văn bản kiểu cũ sẽ giúp bảo vệ quyền riêng tư của bạn. Nhưng tin nhắn văn bản SMS tiêu chuẩn không riêng tư hoặc an toàn. SMS giống như fax — một tiêu chuẩn cũ, lỗi thời nhưng chưa thể biến mất.
Mục lục
Nhà cung cấp dịch vụ di động của bạn có thể xem tin nhắn SMS của bạn
Với SMS, tin nhắn bạn gửi không được mã hóa đầu cuối. Nhà cung cấp dịch vụ di động của bạn có thể xem nội dung tin nhắn bạn gửi và nhận. Những tin nhắn đó được lưu trữ trên hệ thống của nhà cung cấp dịch vụ di động của bạn — vì vậy, thay vì một công ty công nghệ như Facebook nhìn thấy tin nhắn của bạn, nhà cung cấp dịch vụ di động có thể xem tin nhắn của bạn.
Các nhà cung cấp dịch vụ di động lưu trữ nội dung của những tin nhắn đó trong nhiều khoảng thời gian khác nhau. Tin nhắn thường chỉ được lưu giữ trong vài ngày, nhưng chúng lưu trữ siêu dữ liệu (số nào đã gửi tin nhắn đến số nào và vào thời điểm nào) thậm chí lâu hơn. Những hồ sơ này có thể bị trát đòi hầu tòa trong thủ tục pháp lý — ví dụ, hồ sơ tin nhắn văn bản là một dạng bằng chứng phổ biến trong các vụ ly hôn.
So sánh ứng dụng này với một ứng dụng trò chuyện được mã hóa end-to-end như Signal. Signal không có nội dung liên lạc của bạn. Signal thậm chí không biết bạn đang nói chuyện với ai. Dữ liệu cuộc trò chuyện của bạn chỉ được lưu trữ trên thiết bị của bạn và thiết bị của người bạn đang trò chuyện — chỉ có vậy.
Bên cạnh đó, bạn có nên tin tưởng vào nhà cung cấp dịch vụ di động với các cuộc trò chuyện của mình không? Câu trả lời là không, vi phạm sự riêng tư của người khác là sự phổ biến ở các nhà cung cấp dịch vụ ở Việt Nam, và phần lớn bản thân người dùng phổ thông tại VN chưa ý thức được việc này.
Và bây giờ khi sử dụng bất kỳ phương tiện nào để giao tiếp, hãy đặt câu hỏi: Bạn có muốn các công ty đó xem tất cả nội dung các cuộc trò chuyện cá nhân của bạn không?
Hội chị em thân thiết 14 tỷ làm từ thiện là một ví dụ về sự nguy hiểm khi lộ nội dung tin nhắn
Tin nhắn SMS có thể bị tội phạm chặn và đọc
Nhưng tin nhắn SMS được sử dụng để bảo mật, có phải không? Có một lý do khiến mọi ngân hàng và tổ chức tài chính dựa vào tin nhắn SMS để xác minh danh tính của bạn.
Vâng, có một lý do. Nhưng lý do đó không phải vì bảo mật. Chỉ là mỗi người đều có số điện thoại. Yêu cầu xác nhận qua SMS bổ sung thêm một số bảo mật. Ngay cả khi SMS không đặc biệt an toàn, nó ít nhất đảm bảo rằng kẻ tấn công phải chặn một tin nhắn SMS ngoài việc nhập mật khẩu của bạn.
Tin nhắn SMS có thể bị chặn. Các mạng điện thoại di động trên khắp thế giới được kết nối với nhau thông qua giao thức Hệ thống báo hiệu số 7 (SS7). Đây là cách điện thoại của bạn có thể kết nối với mạng di động và thực hiện và nhận cuộc gọi, ngay cả khi bạn đang ở một quốc gia khác ở bên kia thế giới.
Hệ thống SS7 đã nhiều lần bị tấn công bởi các tin tặc đã theo dõi hoặc chặn tin nhắn SMS. Điều này đặc biệt hữu ích khi xâm phạm tài khoản ngân hàng, chẳng hạn như – những kẻ tấn công có thể rình mò mã xác minh thường được gửi qua SMS, sử dụng chúng để truy cập vào tài khoản ngân hàng và tiêu chúng.
Tin nhắn SMS có thể được theo dõi bởi các cơ quan có thẩm quyền
Các chính phủ trên khắp thế giới có quyền truy cập vào “stingrays”, thiết bị về cơ bản đóng giả một tháp di động. Khi được đặt gần vị trí thực của bạn, những thứ này sẽ đánh lừa điện thoại của bạn kết nối với chúng (vì điện thoại của bạn sẽ kết nối với tháp di động thông thường). Sau đó, thiết bị stingray có thể theo dõi chuyển động của bạn và xem tin nhắn văn bản SMS của bạn — giống như nhà cung cấp dịch vụ di động của bạn có thể.
Ngoài giám sát cục bộ, tin nhắn SMS cũng có thể được quét trong các hệ thống giám sát lớn hơn. Theo các tài liệu do Edward Snowden công bố vào năm 2014, NSA vào thời điểm đó đã thu thập hơn 200 triệu tin nhắn văn bản mỗi ngày từ khắp nơi trên thế giới.
Các dịch vụ tình báo của các quốc gia khác cũng có quyền truy cập vào công nghệ giám sát stingray và SMS, vì vậy rõ ràng tại sao các ứng dụng liên lạc được mã hóa như Signal và Telegram lại đặc biệt phổ biến đối với các nhà hoạt động sống dưới chế độ “đặc biệt”. Ví dụ, Telegram và Signal bị cấm ở Iran.
Số điện thoại của bạn dễ bị chiếm đoạt một cách đáng ngạc nhiên
Ngoài SMS, các số điện thoại thực sự có bảo mật rất kém — ở cấp nhà mạng. Kẻ lừa đảo có thể gọi cho nhà cung cấp dịch vụ di động của bạn hoặc đi vào một cửa hàng và mạo danh bạn. Nếu kẻ lừa đảo có đủ thông tin chi tiết và có thể lừa đại diện dịch vụ khách hàng của nhà cung cấp dịch vụ của bạn, họ có thể kiểm soát số điện thoại của bạn. Họ có thể yêu cầu nhà cung cấp dịch vụ “chuyển” số điện thoại của bạn sang một nhà cung cấp dịch vụ di động khác — giống như cách bạn làm nếu chuyển sang nhà cung cấp dịch vụ di động khác. Hoặc, họ có thể yêu cầu nhà cung cấp dịch vụ phát hành thẻ SIM mới gắn với số điện thoại của bạn và hủy kích hoạt thẻ SIM hiện có của bạn, xóa quyền truy cập vào số điện thoại của bạn.
Bây giờ kẻ tấn công sẽ có số điện thoại của bạn. Nhờ đó, họ có thể truy cập vào các tài khoản được bảo vệ bằng xác thực hai yếu tố dựa trên SMS. Đối với một kẻ lừa đảo cá nhân, xét cho cùng, lừa một nhân viên dịch vụ khách hàng còn dễ hơn hack SS7. Đây được gọi là “lừa đảo chuyển tiền” hoặc “tấn công hoán đổi SIM”.
Bạn thường có thể bảo vệ số điện thoại của mình bằng cách thêm mã PIN bổ sung và các tính năng bảo mật với nhà cung cấp dịch vụ di động của mình. Kiểm tra với nhà cung cấp dịch vụ di động của bạn để xem họ cung cấp các tính năng bảo mật nào để bảo vệ chống lại các trò gian lận khi chuyển mạng.
iMessage và RCS: Tốt hơn SMS?
Ứng dụng Tin nhắn trên iPhone hỗ trợ cả SMS và dịch vụ iMessage của riêng Apple . Trên Android, ngày càng nhiều điện thoại Android được hỗ trợ cho tiêu chuẩn Rich Communication Services (RCS) hiện đại hơn . Cả hai đều được thiết kế để âm thầm “nâng cấp” các cuộc trò chuyện bằng tin nhắn văn bản lên những cuộc trò chuyện hiện đại và an toàn hơn khi cả hai người đều đang sử dụng thiết bị hỗ trợ chúng. Vì vậy, làm thế nào để họ so sánh với SMS?
Theo một nghĩa nào đó, iMessage của Apple hỗ trợ SMS, sử dụng số điện thoại làm số nhận dạng. Nếu cả bạn và người bạn muốn nhắn tin đều có iPhone và đã bật iMessage, mọi văn bản bạn gửi sẽ được gửi dưới dạng iMessage. Chúng được mã hóa end-to-end và gửi qua máy chủ của Apple. Bạn sẽ biết iMessage đang được sử dụng vì tin nhắn sẽ có bong bóng màu xanh lam. Thay vào đó, nếu bạn nhìn thấy các bong bóng màu xanh lục thì ứng dụng Tin nhắn đang sử dụng SMS — vì bạn đang nhắn tin cho ai đó mà không có iMessage, có thể là một người là người dùng Android.
Tiêu chuẩn RCS đang được thúc đẩy cho người dùng Android — hãy coi đó là Google / Android tương đương với iMessage của Apple. Điều đó có nghĩa là, ngay cả với hệ thống RCS mới lạ mắt đó trên điện thoại Android, nhà cung cấp dịch vụ di động của bạn vẫn có thể xem nội dung tin nhắn bạn gửi, giống như với SMS.
Tóm tắt các vấn đề với SMS
Hãy nhanh chóng tóm tắt các vấn đề với SMS và so sánh nó với một ứng dụng trò chuyện được mã hóa end-to-end an toàn như Signal.
Với SMS:
- Nhà cung cấp dịch vụ di động của bạn có thể xem nội dung tin nhắn bạn đang gửi và nhận. Bất kỳ hồ sơ đã thu thập nào đều có thể được trát hầu tòa trong thủ tục pháp lý.
- Tin nhắn SMS có thể bị tin tặc chặn do những điểm yếu trong giao thức cũ ọp ẹp cung cấp năng lượng cho chúng. Điều này khiến tài chính và các tài khoản khác gặp rủi ro.
- Các nhà chức trách có thể triển khai cá đuối gai độc để theo dõi nội dung của các tin nhắn văn bản trong một khu vực.
- Những kẻ lừa đảo có thể cố gắng đánh cắp số điện thoại di động của bạn bằng cách lừa nhân viên dịch vụ khách hàng của nhà cung cấp dịch vụ di động của bạn.
Với Signal, ví dụ:
- Nhà cung cấp dịch vụ di động của bạn không thể xem nội dung tin nhắn của bạn. Thậm chí Signal không thể xem nội dung tin nhắn của bạn hoặc người bạn đang liên hệ — điều đó vẫn là một bí mật. Signal không thu thập dữ liệu này. Nếu bị trát đòi hầu tòa, Signal hầu như không thể tiết lộ gì về việc bạn sử dụng dịch vụ.
- Trên thực tế, tin nhắn tín hiệu không thể bị tin tặc chiếm đoạt. Họ sẽ phải thỏa hiệp với giao thức mã hóa, mà các chuyên gia bảo mật cho là tuyệt vời. (Ngược lại, SS7 đã nhiều lần bị xâm phạm.)
- Stingrays không thể xem cuộc trò chuyện của bạn. Các nhà chức trách không thể theo dõi nội dung của các tin nhắn Signal — không phải là không nhúng tay vào điện thoại có chứa chúng. Tất cả những gì họ có thể thấy là lưu lượng được mã hóa được gửi qua lại đến các máy chủ của Signal.
- Một trò lừa đảo chiếm số điện thoại của bạn sẽ không cấp quyền truy cập vào tài khoản Signal của bạn. Bạn có thể bảo vệ tài khoản Signal của mình bằng mã PIN , vì vậy kẻ lừa đảo không thể chỉ truy cập vào tài khoản Signal của bạn. Ngay cả khi kẻ lừa đảo bằng cách nào đó có thể đoán mã PIN của bạn và truy cập vào tài khoản Signal của bạn, các tin nhắn Signal của bạn được lưu trữ trên điện thoại của bạn và sẽ không được đồng bộ hóa với bất kỳ thiết bị mới nào có quyền truy cập vào tài khoản của bạn.
Những gì bạn nên sử dụng thay thế
Chúng tôi đã sử dụng Signal làm ví dụ ở đây vì sự tương phản rất rõ ràng— Signal là ứng dụng trò chuyện riêng tư được khuyến nghị rộng rãi nhất, với mã hóa end-to-end luôn bật .
Nếu bạn có iPhone, giao tiếp bằng iMessage sẽ riêng tư và an toàn hơn nhiều so với việc sử dụng SMS cũ thông thường. Hy vọng rằng một ngày nào đó, người dùng Android sẽ có tin nhắn mã hóa end-to-end an toàn được tích hợp trong thiết bị của họ sau khi các cải tiến được thực hiện đối với RCS. Rất tiếc, iMessage và RCS không tương thích với nhau, vì vậy iPhone và điện thoại Android sẽ phải giao tiếp qua SMS — hoặc chuyển sang các ứng dụng trò chuyện khác không được tích hợp sẵn.
Các ứng dụng trò chuyện khác cũng là một tùy chọn. Telegram là phổ biến, mặc dù nó không sử dụng mã hóa end-to-end theo mặc định. Ít nhất WhatsApp sử dụng mã hóa end-to-end theo mặc định, không giống như Facebook Messenger — nếu bạn tin tưởng một ứng dụng trò chuyện do Facebook vận hành. Nhưng thậm chí Facebook Messenger còn được cho là an toàn hơn SMS — bạn đang tin cậy Facebook với tin nhắn của mình, nhưng ít nhất bạn không phải lo lắng về các vấn đề trong giao thức SS7 cũ kỹ, cũ kỹ.
Để bảo mật hai yếu tố, tốt nhất bạn nên tránh SMS cho các tác vụ thực sự quan trọng. Rất tiếc, một số dịch vụ vẫn sẽ hoạt động trở lại xác thực qua SMS — để thuận tiện. Đôi khi có những lựa chọn thay thế. Ví dụ: Các nhà báo, nhà hoạt động, lãnh đạo doanh nghiệp và chính trị gia, những người cần bảo mật tối đa cho tài khoản của họ và hộ sử dụng khóa bảo mật vật lý. Điều đó nói rằng, bảo mật hai yếu tố dựa trên SMS vẫn tốt hơn là không có gì.
Tương lai của SMS: Sẽ bao giờ được sửa chữa?
SMS chỉ là công nghệ lỗi thời. Nó rõ ràng không được xây dựng với sự lưu tâm đến quyền riêng tư và bảo mật, và những quyết định thiết kế đó vẫn còn tồn tại cho đến ngày nay.
Hy vọng rằng, điều này sẽ được khắc phục trong tương lai. Nếu RCS trở nên hoàn thiện hơn, nhận được mã hóa end-to-end và khả dụng trên tất cả các điện thoại Android — thì tất cả những gì Apple phải làm là đồng ý làm cho RCS tương thích với iMessage theo một cách nào đó. Sau đó, tất cả các điện thoại thông minh hiện đại sẽ có nhắn tin an toàn mà không phụ thuộc vào các giao thức cổ xưa được tích hợp sẵn.
Hiện tại, tốt nhất là tránh tin nhắn văn bản nếu bạn lo lắng về quyền riêng tư hoặc tính bảo mật của tài khoản của mình.