Скрытые угрозы SMS: сотовый оператор знает слишком много

Рассказываем о потенциальной угрозе безопасности и приватности при использовании SMS.

«Исторически так сложилось»

Кто впервые сталкивался с мобильным телефоном, помимо звонков, узнавал о наличии коротких текстовых сообщений. И если изначально сообщения чаще использовались для обмена информацией без участия живого оператора (вспоминаем пейджер), то теперь они превратились в главный инструмент уведомлений и верификаций.

Мы провели тематический опрос в нашем телеграм-канале ^[1]:

Результат: 87% используют SMS. Не всем очевидно, но ответ «Только для получения уведомлений» угрожает приватности ещё больше, чем SMS-переписка с кем-то, у кого нет мессенджеров. Поздравляя родственника с праздниками, вы задумываетесь, о чём пишете. Кто отправляют уведомления — нет.

Выборка скромная, но в больших цифрах разница окажется несущественной.

Угроза №1: Несанкционированные расходы

Регулярно появляются рассказы об автоматических подписках на платные сервисы. В прошлом месяце на Хабре говорили про Мегафон ^[2]:

Год назад про МТС на Медузе ^[3]:

Для понимания масштаба проблемы:

Угроза №2: Безопасность аккаунтов

Вы теряете SIM-карту, обращаетесь с паспортом в салон сотового оператора, сотрудник за минуту выдаёт новую карточку с вашим номером. Обычный сценарий? То же самое он может сделать и по собственной воле без вашего ведома, если выгода превысит последствия и вероятность наказания.

Но заметно более популярен перевыпуск SIM-карт по поддельной доверенности ^[4]. Осознавая проблему, сотовые операторы предлагают защититься запретом действий от имени абонента ^[5] по доверенности. Хотя могли бы решить проблему глобально, установив запрет по умолчанию.

Попав в чужие руки, ваш номер становится ключом к почте, мессенджерам, множеству платёжных инструментов. То есть везде, где используется восстановление доступа или верификация через SMS.

Относительно хорошая новость в том, что большинство современных банков умеет отслеживать факт смены SIM-карты, а значит — не впустят в интернет-банк, и не пришлют код подтверждения онлайн-платежа. По крайне мере до тех пор, пока вы не подтвердите смену карточки в отделении или по телефону. Но не забываем, что записи по «пакету Яровой» хранятся у оператора полгода, а там, среди прочего, есть и ваши ответы на «секретные вопросы».

Получить контроль над вашими SMS могут и силовые ведомства, о чем мы уже рассказывали ^[6] ранее. Без перевыпуска SIM-карты и абсолютно незаметно для абонента.

Угроза 3: Приватность

Вот тут самое интересное.

Уведомления от компаний: онлайн-сервисы, рестораны, клубы, клиники, магазины, службы доставки, каршэринг. Многие подписывают свои сообщения, а значит можно сразу определить, какими сервисами пользуется клиент. Сколько личной информации содержится в таких сообщениях, можете представить сами.

Уведомления от банков. Из таких сообщений можно получить информацию:

• об остатках на счетах;
• о снятиях и пополнениях в разных банкоматах;
• о вашем общем обороте за любой период;
• о вкладах: размере, сроке, выплаченных процентах;
• об одобренных кредитах, платежах по ним и задолженностях;
• о выпущенных картах, о части их цифр, а иногда часть или целый пин-код;
• о всех транзакциях пользователя, его покупках;
• об оплате счетов;
• о переводах другим людям, включая их имена и номера счетов.

И вот то, что сохраняет оператор, не защищено никакой «банковской тайной».

Собранная информация позволяет составить доскональный и персонализированный профиль клиента. Для аналитики не требуется много ресурсов: текстовая информация по шаблонам, ключевым словам и типе адресата легко обрабатывается алгоритмами.

Подобный профиль предоставляет практически безграничные возможности оператору и кому-либо еще, получившему несанкционированный доступ, включая утечку базы данных.

Про утечки информации на @dataleak ^[7]

Откройте свои SMS и посмотрите, какой информацией вы делитесь с оператором в открытом виде.

Сколько хранятся архивы SMS? Согласно расследованию Mobile-Review ^[8] — 3 года, по информации ^[9] Максима Каца — как минимум 2 года.

Слезаем с иглы SMS — будет непросто

Финансовые операции

Переходим на использование Push-уведомлений вместо SMS.
Пример сценария от Альфа-Банка:

Аналогичная процедура доступна в большинстве других банков с мобильными приложениями.

Подтверждения входа в сервисах

Используем приложения верификации в смартфоне (Google Authenticator и аналоги), смарт-карты, токены или как минимум подтверждение по e-mail надёжного почтового сервиса.

Общение

Всех, с кем вы общаетесь через SMS, можно пересадить на безопасные или относительно безопасные мессенджеры зарубежного производства. Покажите им лично, что пользоваться мессенджерами не страшно и не больно.

Два более радикальных варианта

На обсуждение.

Использование зарубежной SIM-карты
Несколько сомнений в надежности этого варианта:

• Доступны ли эти SMS в открытом виде локальному оператору, который обслуживает в роуминге иностранный номер?
• Хранит и должен ли он хранить их по закону?
• Обязан ли предоставлять информацию о сообщениях на такие номера по запросу?

Если кто-то хочет рассказать о «внутренней кухне» этих вопросов, но не готов сделать это в публичных комментариях, можно анонимно написать в наш телеграм-бот ^[10] с пометкой «для Хабра». По вашему разрешению мы добавим обезличенную информацию в статью.

Полный отказ от SMS
Пока сложно представить, как с этим жить. Но в нашем голосовании этот вариант набрал 13%…

Сможете ли вы полностью отказаться от SMS?

Автор: Маркус Саар

Источник ^[11]