Wiadomości SMS podobnie jak połączenia telefoniczne są podstawowym sposobem komunikacji. Popularne SMSy (z j. ang. Short Message Service) powstały w 1992 roku, a więc niedawno świętowały swoje 30-lecie. W świecie nowych technologii to okres czasu, który można porównać z kilkoma wiekami w rozwoju świata. Pomimo tego na przestrzeni ostatnich 30 lat SMSy nie zmieniły znacząco swojej formy, a to oznacza, że są technologią przestarzałą. Jak łatwo się domyśleć przestarzała technologia nie jest najbezpieczniejsza.

W poniższym artykule wyjaśniamy dlaczego w 2024 roku nie powinniśmy korzystać z klasycznych wiadomości SMS tylko zastąpić je nowszym czatem RCS lub dedykowanymi aplikacjami do przesyłania wiadomości tekstowych (najlepiej z aktywnym szyfrowaniem end-to-end).

Zobacz również:

• Wdrożono system, który ochroni nas przed niechcianymi wiadomościami SMS
• Koniec RCS na urządzeniach z nieoficjalnym systemem
• Ruszyły testy satelitów Starlink działających w trybie „direct-to-cell”

Dlaczego SMSy nadal są popularne?

Wiadomości SMS mają wiele ograniczeń - ograniczona liczba znaków, brak możliwości wysyłania multimediów, ograniczona obsługa polskich znaków oraz emotikon. Pomimo tych wad są niezwykle popularne, ponieważ są dostępne niemalże na każdym urządzeniu wyposażonym w modem sieci komórkowej, a na dodatek do wysyłania SMSów niepotrzebny jest Internet. Wystarczy zasięg sieci 2G, która swoim pokryciem przewyższa pokrycie sieci 4G LTE.

SMSy nie wspierają szyfrowania danych

Warto zdawać sobie sprawę z faktu, że wiadomości SMS nie wykorzystują żadnego szyfrowania. Najcześciej są wysyłane w postaci otwartego tekstu. Oznacza to, że nie ma żadnych dodatkowych zabezpieczeń i że prawie każdy, kto ma wystarczającą wiedzę, może bez najwiekszych problemów przechwycić wiadomość SMS. Jeśli operator komórkowy używa jakiegoś dodatkowego zabezpieczenia w postaci szyfrowania, najprawdopodobniej stosuje słaby i przestarzały algorytm, który jest wykorzystywany tylko w trakcie przesyłania wiadomości.

SMS opiera się na przestarzałej technologii

Wiadomości SMS obecne są na rynku od grudnia 1992 roku, ale w praktyce korzystają ze znacznie starszych rozwiązań technologicznych.

Technologia wysyłania i odbierania wiadomości SMS opiera się na zestawie protokołów sygnalizacyjnych o nazwie Signaling System No. 7 (SS7), który został opracowany w latach 70-tych. Jest on przestarzały i wysoce niezabezpieczony, co czyni go podatnym na różnego rodzaju cyberataki. Na przestrzeni ostatnich lat wielokrotnie wykorzystano luki w zabezpieczeniach SS7 do ominięcia uwierzytelniania dwuskładnikowego w celu opróżnienia kont bankowych. Z tego właśnie względu w banku coraz rzadziej drugim elementem weryfikacji wieloskładnikowej jest wiadomość SMS. Zamiast niej stosuje się powiadomienia typu push wysyłane przez dedykowane aplikacje bankowe.

Również firma Microsoft zaprzestała wykorzystywania wiadomości SMS do weryfikacji wieloskładnikowej. Zamiast niej wdrożono aplikację Microsoft Authenticator, która jest znacznie bezpieczniejsza, a na dodatek wygodniejsza w użytkowaniu.

Każdy może odczytać wiadomość SMS bez wiedzy użytkownika

Dlaczego luki w zabezpieczeniach SS7 nie zostały załatane? Jednym z możliwych wyjaśnień jest to, że organy regulacyjne nie są tym szczególnie zainteresowane, ponieważ rządy na całym świecie podsłuchują swoich obywateli. Niezależnie od tego, czy jest to prawdziwy powód, czy nie, nie ulega wątpliwości, że rząd mógłby czytać wiadomości SMS, gdyby chciał. Dla przykładu w Stanach Zjednoczonych organy ścigania nie potrzebują nawet nakazu, aby uzyskać dostęp do wiadomości starszych niż 180 dni.

Brak jasnego potwierdzenia o wysłaniu i odczytaniu wiadomości SMS

Standard SMS w przeciwieństwie do nowszego RCS, iMessage czy dedykowanych aplikacji do wysyłania wiadomości nie posiada funkcji informującej o poprawnym dostarczeniu wiadomości SMS oraz jej odczytaniu przez odbiorcę.

Wiadomości są przechowywane przez operatorów

Wiadomości SMS są przechowywane przez operatorów przez określony czas (długość zależy od operatora). Metadane, które dotyczą informacji o samych danych, są przechowywane jeszcze dłużej. Jeśli nie obawiasz się, że organy ścigania odczytają Twoje wiadomości, to warto wiedzieć, że Twój operator komórkowy również może uzyskać do nich dostęp. Chociaż prawdą jest, że przepisy, regulacje i polityki wewnętrzne uniemożliwiają dostawcom usług mobilnych szpiegowanie użytkowników, nieautoryzowany dostęp i naruszenia nadal mają miejsce.

Nie da się cofnąć wysłanej wiadomości SMS

Nie ma możliwości cofnięcia wysłania wiadomości SMS. Gdy odbiorca ją otrzyma, pozostanie ona w jego telefonie na czas nieokreślony, chyba że usunie ją ręcznie. Co w przypadku, jeśli telefon odbiorcy zostanie zhakowany lub w jakiś sposób naruszony? A co, jeśli ujawniłeś w wiadomości SMS pewne dane osobowe, których nie powinieneś był ujawniać? Są to przykładowe scenariusze, w których trwałość wiadomości SMS wraz z wyżej wymienionymi powodami sprawia, że wysyłanie SMSów może być niezwykle niebezpieczne.

Na rynku istnieje wiele alternatyw dla SMSów

SMSy od kilku lat posiadają następce - RCS - nowy standard komunikacji Rich Communication Suite o nazwie marketingowej joyn.

RCS jest domyślnie wspierany przez nowoczesne urządzenia z systemem Android. Dane przesyłane przez RCS są szyfrowane, a użytkownicy otrzymują informację o dostarczeniu oraz odczytaniu wiadomości przez odbiorce.

Interakcja z RCS odbywa się za pośrednictwem domyślnej aplikacji do obsługi SMSów. RCS umożliwia rownież chat w grupie, wysyłanie multimediów, przesyłanie filmów wideo w czasie rzeczywistym, a całość odbywa się jak w przypadku klasycznego SMSa z wykorzystaniem numeru teleofnu komórkowego - bez konieczności instalowania dodatkowych aplikacji takich jak np. Signal, WhatsApp czy Telegram. Wymienione przez nas aplikacje również są świetnymi zamiennikami SMSów, ale wymagają rejestracji oraz nie są tak powszechnie dostępna jak standard SMS i RCS.