content/news/images/53056/sms_mainPhoto.jpg
20:33, 13.08.2016 / ОБЩЕСТВО

«Медуза»: SMS должны умереть как можно скорее

В последние месяцы в России несколько раз взламывали мессенджер Telegram — и всякий раз с помощью SMS. Одноврменно с этим западные эксперты предупредили, что текстовые сообщения скоро в принципе перестанут использоваться в двухфакторной аутентификации. «Медуза» рассказывает, почему пришла пора расставаться с SMS-сообщениями.

«Медуза»: SMS должны умереть как можно скорее
Фото media8.ru

SMS как отмычка

В конце апреля 2016 года были взломаны Telegram-аккаунты российских оппозиционеров Олега Козловского и Георгия Албурова. Хакеры обнаружили уязвимость не в самом мессенджере, а в том, что он использует SMS в качестве канала доставки секретных кодов для входа в аккаунт — именно SMS и перехватили злоумышленники. Каким образом это произошло, неизвестно; однако в этом процессе мог быть зайдествован мобильный оператор — в ночь взлома Албурову и Козловскому отключали сервис приема SMS, в результате чего на их телефоны не пришли запрошенные пароли (представители МТС заявили, что «никаких целенаправленных действий по отключению услуг не производилось» и не исключили вероятность «вирусной атаки»).

Чтобы избежать таких ситуаций, представители Telegram рекомендуют устанавливать дополнительный пароль для входа в аккаунт (в сочетании с SMS-кодами этот подход должен обеспечить максимальную защиту от взлома). Функцией дополнительного пароля воспользовался журналист Сергей Пархоменко, но это его не обезопасило полностью: как выяснилось, чтобы удалить аккаунт в Telegram вместе со всеми диалогами, достаточно SMS-кода. Разработчикам мессенджера пришлось отказаться от этой функции.

SMS: что с ними не так

SMS активно используется в крупнейших интернет-сервисах как канал для доставки одноразовых паролей пользователям. Чаще всего применяется не подход Telegram (когда по умолчанию достаточно ввести только одноразовый пароль), а схема, когда сначала вводится постоянный пароль пользователя, а уже потом — одноразовый код, сгенерированный системой.

При использовании такой схемы (она называется двухфакторной аутентификацией) самый простой и популярный способ доставить одноразовый код — отправить его в SMS-сообщении. Однако эта ситуация скоро изменится. В конце июля 2016 года Национальный институт стандартов и технологий США (NIST, относится к министерству торговли) объявил о намерении запретить использование SMS-кодов в государственных системах. Фактически это может означать смерть SMS для двухфакторной аутентификации в целом, поскольку частные эксперты и компании прислушиваются к рекомендациям института.

Вместо SMS предполагается использовать более защищенные методы — например, приложение для смартфона, генерирующее коды по сложному алгоритму без всякой передачи данных. Эксперты, поддерживающие решение NIST, отмечают, что от SMS стоило избавиться уже давно, просто пользователи готовы жертвовать безопасностью ради удобства — альтернативные методы сложнее в обращении.

Проблема в том, что SMS используются не только при двухфакторной аутентификации. Многие банки разрешают управлять балансом с помощью текстовых сообщений, чем пользуются злоумышленники. Вирусы для Android давно научились слать SMS в «Сбербанк», запрашивая данные о балансе привязанной к телефонному номеру карты. Выяснив, что на карте есть деньги, они — опять же по SMS — переводят средства на свои счета.

SMS нельзя доверять не только свои аккаунты и банковские счета, но и личную переписку. Текстовые сообщения передаются и хранятся у оператора незашифрованными, в открытом виде. А значит, теоретически прочитать переписку могут представители спецслужб и злоумышленники. Для этого даже необязательно обладать связями в компании-операторе: уязвимость SS7 в телефонной инфраструктуре, о которой подробно рассказывала «Медуза», открывает хакерам доступ к SMS подавляющего большинства абонентов планеты.

SMS — это еще и неудобно. Практически каждый сталкивался с навязчивой и неизвестно откуда взявшейся промо-подписки от какого-нибудь банка или магазина. Операторы борьбу со спамом ведут лениво, а с предложениями магазинов и вовсе ничего не могут поделать, ведь в большинстве случаев абонент добровольно согласился на этот спам (например, оформляя скидочную карту). В обычных мессенджерах блокировка надоевшего собеседника — дело пары нажатий, и не нужно никому объяснять, за что именно его блокируешь.

Наконец, SMS — это дорого. Несмотря на то, что мобильные операторы предлагают тарифы, включающие пакеты SMS по низкой цене, конкурировать с интернет-мессенджерами, быстрыми и бесплатными, им очень трудно; особенно с учетом повсеместно развитого Wi-Fi.

А что хорошего в SMS?

Во-первых, SMS работают на всех устройствах — от самых современных телефонов до бабушкиных «Нокий». Сообщение гарантированно доходит до адресата — неважно, какая у него операционная система и какие приложения установлены.

Во-вторых, для доставки SMS не нужен интернет, поэтому передача сообщений не зависит от того, насколько качественно покрытие связи (лишь бы была хоть какая-нибудь сеть) и не закончился ли у получателя объем трафика.

В-третьих, отношение к SMS-сообщениям, с учетом распространения мессенджеров, у людей особое: чем меньше человек получает SMS, тем важнее выглядят те немногие, что все-таки приходят.

Кроме того, SMS отлично подходят для «интернета вещей»: чтобы разработать устройство, общающееся с вами по SMS, нужно потратить гораздо меньше усилий и денег, чем на отдельное мобильное приложение. К тому же можно быть уверенным, что такое устройство будет бесперебойно работать долгие годы, вне зависимости от обновлений операционных систем и приложений. Если, конечно, мы не убьем SMS прямо сейчас.

6262

Комментарии (6)

Добавить комментарий
  • Бабушка
    13.08.2016, 23:37:54
    Ответить
    Опять непродвинутому населению в лице бабушек придется раскошеливаться на продвинутые мобильники и приложения к ним...
    • father
      14.08.2016, 6:36:29
      Ответить
      Моей маме, 83 года. У нее, смартфон. )))
      И Телеграммы, на нем стоит.))) Все бесплатно ( то есть, я ей его подарил)
      Телефоном пользуется, в качестве звонили и будильника.
  • Смотреть
    14.08.2016, 10:16:47
    Ответить
    российский фильм: Выжившие в лесах.
    • Поправка
      14.08.2016, 11:47:13
      Ответить
      Затерянные в лесах
  • Фдулыч
    14.08.2016, 10:44:51
    Ответить
    на рыбалке утопил сотовый. купил новый. Он мне нужен только как звонилка, как будильник и для смсок. мне лишнее не нужно. Но заколебали операторы9сотовый то на две симки) насчёт услу по интернету и прочих платных услуг. ну не нужны они. А недавно билайн вообще обнаглел: без моего велома мне подключил услугу Хай-вей. Пришлось писать предъяву. господа. операторы. Мне сотовй нужен только в качетсве звонилки, будильники и для смс. Всё. будете настаивать на остальном, откажусь лт сотовой связи. както 40 лет прожил без неё.
  • у
    14.08.2016, 18:50:31
    Ответить
    статья-намек на оппозиционную деятельность,опять стращают.

Хочу получать главные новости дня в Коми!