Tại sao tin nhắn SMS không riêng tư và an toàn?
Bạn có thể nghĩ rằng chuyển từ Facebook Messenger sang tin nhắn văn bản SMS kiểu cũ sẽ giúp bảo vệ quyền riêng tư của bạn. Tuy nhiên, tin nhắn SMS tiêu chuẩn không được riêng tư hoặc an toàn cho lắm. SMS cũng giống như fax – một tiêu chuẩn cũ và lỗi thời nhưng vẫn sử dụng rộng rãi hiện nay.
Nhà mạng có thể xem tin nhắn SMS của bạn
Với SMS, tin nhắn do bạn gửi không được mã hóa đầu cuối (end-to-end). Nhà cung cấp dịch vụ di động (nhà mạng) có thể xem nội dung tin nhắn bạn gửi và nhận. Những tin nhắn đó được lưu trữ trên hệ thống của nhà cung cấp dịch vụ di động – vì vậy, thay vì một công ty công nghệ như Facebook nhìn thấy tin nhắn của bạn, thì nhà cung cấp dịch vụ di động lại có thể xem tin nhắn của bạn.
Các nhà cung cấp dịch vụ di động lưu trữ nội dung của những tin nhắn đó trong nhiều khoảng thời gian khác nhau. Tin nhắn thường chỉ được lưu giữ trong vài ngày, nhưng họ thậm chí còn lưu trữ các siêu dữ liệu (số nào đã gửi tin nhắn đến số nào và vào thời điểm nào) lâu hơn. Những dữ liệu này có thể được điều tra theo thủ tục pháp lý — ví dụ, tin nhắn văn bản là một dạng bằng chứng phổ biến trong các vụ ly hôn tại Mỹ.
So sánh ứng dụng này với một ứng dụng trò chuyện được mã hóa end-to-end như Signal. Signal không lưu trữ nội dung liên lạc của bạn. Signal thậm chí còn không biết bạn đang nói chuyện với ai. Dữ liệu cuộc trò chuyện của bạn chỉ được lưu trữ trên thiết bị của bạn và thiết bị của người bạn đang trò chuyện — chỉ có vậy.
Bên cạnh đó, bạn có nên tin tưởng nhà cung cấp dịch vụ di động của mình không? Trở lại vào năm 2019, AT&T, Sprint và T-Mobile của Mỹ đều ngầm bán dữ liệu vị trí của khách hàng cho các công ty tổng hợp. Dữ liệu này được sử dụng bởi tất cả mọi người, từ những tay trái phiếu đến những kẻ săn tiền thưởng bất hảo. (Sau khi chuyện này được phanh phui, các nhà cung cấp dịch vụ di động đã hứa sẽ dừng lại.)
Bạn có muốn các công ty đó xem tất cả nội dung của các cuộc trò chuyện cá nhân của bạn không?
Tin nhắn SMS có thể bị Hacker đọc lén, sửa nội dung
Tin nhắn SMS được sử dụng để bảo mật, phải không? Có một lý do khiến mọi ngân hàng và tổ chức tài chính dựa vào tin nhắn SMS để xác minh danh tính của bạn — đúng không?
Đúng là có một lý do như vậy. Nhưng lý do đó không phải vì bảo mật. Chỉ là mọi người đều có số điện thoại. Yêu cầu xác nhận qua SMS chỉ để tăng cường thêm sự bảo mật.
Tin nhắn SMS có thể bị đánh chặn. Các mạng điện thoại di động trên khắp thế giới được kết nối với nhau thông qua giao thức Hệ thống báo hiệu số 7 (SS7). Đây là cách điện thoại của bạn có thể kết nối với mạng di động để thực hiện và nhận cuộc gọi, ngay cả khi bạn đang ở một quốc gia khác.
Hệ thống SS7 đã nhiều lần bị tấn công bởi những tin tặc đã rình mò hoặc đánh chặn tin nhắn SMS. Điều này rất quan trọng khi hack các tài khoản ngân hàng, chẳng hạn như – những kẻ tấn công có thể đánh cắp mã xác minh thường được gửi thông qua SMS, sử dụng chúng để truy cập vào tài khoản ngân hàng và dùng tiền của bạn.
Đây là lý do tại sao các chuyên gia bảo mật đã khuyến cáo không nên sử dụng SMS để xác thực hai yếu tố. Ứng dụng tạo code trên thiết bị của bạn hoặc khóa bảo mật vật lý có khả năng bảo mật tốt hơn nhiều. (Tuy nhiên, nếu SMS là tùy chọn duy nhất bạn có, thì có SMS còn hơn không.)
Tin nhắn SMS có thể được theo dõi bởi chính phủ
Các chính phủ trên khắp thế giới có quyền truy cập vào “stingrays”, thiết bị về cơ bản đóng giả một tháp di động. Khi được đặt gần vị trí thực của bạn, những thứ này sẽ đánh lừa điện thoại của bạn kết nối với chúng (vì điện thoại của bạn sẽ kết nối với tháp di động thông thường). Sau đó, thiết bị stingrays có thể theo dõi chuyển động của bạn và xem tin nhắn văn bản SMS của bạn – giống như nhà cung cấp dịch vụ di động.
Ngoài giám sát cục bộ, tin nhắn SMS cũng có thể được quét trong các hệ thống giám sát lớn hơn. Theo các tài liệu do Edward Snowden công bố vào năm 2014, NSA (Cơ quan an ninh quốc gia Hoa Kỳ) vào thời điểm đó đã thu thập hơn 200 triệu tin nhắn văn bản mỗi ngày từ khắp nơi trên thế giới.
Các lực lượng tình báo của các quốc gia cũng có quyền truy cập vào stingrays và công nghệ giám sát SMS, vì vậy rõ ràng tại sao các ứng dụng liên lạc được mã hóa như Signal và Telegram lại đặc biệt phổ biến đối với các nhà hoạt động sống dưới chế độ đàn áp. Ví dụ, Telegram và Signal bị cấm ở Iran.
Số điện thoại của bạn rất dễ bị chiếm đoạt
Ngoài tin nhắn SMS, các số điện thoại thực sự có bảo mật rất kém. Kẻ lừa đảo có thể gọi cho nhà cung cấp dịch vụ di động của bạn hoặc vào một cửa hàng và mạo danh bạn. Tại Mỹ, nếu kẻ lừa đảo có đủ thông tin chi tiết về cá nhân bạn, họ có thể kiểm soát số điện thoại của bạn. Họ có thể yêu cầu nhà cung cấp dịch vụ “chuyển” số điện thoại của bạn sang một nhà cung cấp dịch vụ di động khác. Hoặc, họ có thể yêu cầu nhà cung cấp dịch vụ phát hành thẻ SIM mới gắn với số điện thoại của bạn và hủy kích hoạt thẻ SIM hiện có của bạn, xóa quyền truy cập vào số điện thoại của bạn.
Bây giờ kẻ tấn công sẽ có số điện thoại của bạn. Nhờ đó, họ có thể truy cập vào các tài khoản được bảo vệ bằng xác thực hai yếu tố dựa trên SMS. Xét cho cùng, đối với một kẻ lừa đảo, việc lừa một nhân viên dịch vụ khách hàng sẽ dễ hơn hack SS7 nhiều. Đây được gọi là “lừa đảo chuyển tiền” hoặc “tấn công hoán đổi SIM”.
Bạn thường có thể bảo vệ số điện thoại của mình bằng cách thêm mã PIN bổ sung và các tính năng bảo mật của nhà cung cấp dịch vụ di động. Kiểm tra với nhà cung cấp dịch vụ di động để xem họ cung cấp các tính năng bảo mật nào để bảo vệ bạn khỏi các trò lừa đảo.
iMessage và RCS: Tốt hơn SMS?
Ứng dụng Tin nhắn trên iPhone hỗ trợ cả SMS và dịch vụ iMessage của riêng Apple. Trên Android, ngày càng nhiều điện thoại Android được hỗ trợ tiêu chuẩn Rich Communication Services (RCS) hiện đại hơn. Cả hai đều được thiết kế để âm thầm “nâng cấp” các cuộc trò chuyện bằng tin nhắn văn bản lên những cuộc trò chuyện hiện đại và an toàn hơn. Vậy cái dịch vụ nào tốt hơn iMessage, RCS hay SMS.
Theo một nghĩa nào đó, iMessage của Apple hỗ trợ SMS, sử dụng số điện thoại làm số nhận dạng. Nếu cả bạn và người bạn muốn nhắn tin đều có iPhone và đã bật iMessage, mọi văn bản bạn gửi sẽ được gửi dưới dạng iMessage. Chúng được mã hóa end-to-end và được gửi qua máy chủ của Apple. Bạn sẽ biết iMessage đang được sử dụng vì tin nhắn sẽ có bong bóng màu xanh lam. Thay vào đó, nếu bạn nhìn thấy các bong bóng màu xanh lục thì ứng dụng Tin nhắn đang sử dụng SMS.
Tiêu chuẩn RCS đang được thúc đẩy cho người dùng Android — hãy coi đó là iMessage — không được hỗ trợ mã hóa end-to-end kể từ tháng 1 năm 2021. Kể từ tháng 11 năm 2020, Google đang làm việc để thêm mã hoá end-to-end cho RCS. Có nghĩa là, ngay cả khi có hệ thống RCS, nhà mạng vẫn có thể xem nội dung tin nhắn của bạn.
Tóm tắt nhanh các vấn đề với SMS
Tóm tắt các vấn đề về tin nhắn SMS và so sánh SMS với một ứng dụng trò chuyện được mã hóa end-to-end an toàn như Signal.
Với SMS:
- Nhà cung cấp dịch vụ di động của bạn có thể xem nội dung tin nhắn bạn đang gửi và nhận. Bất kỳ hồ sơ đã thu thập nào đều có thể là bằng chứng trước tòa.
- Tin nhắn SMS có thể bị tin tặc chặn do những điểm yếu trong giao thức cũ. Điều này khiến tài chính và các tài khoản khác của bạn gặp rủi ro.
- Chính phủ có thể triển khai stingrays để xem nội dung tin nhắn SMS trong ở vị trí nhất định.
- Những kẻ lừa đảo có thể cố gắng lấy cắp số điện thoại di động của bạn bằng cách lừa nhân viên dịch vụ của nhà cung cấp dịch vụ di động.
Với Signal:
- Nhà cung cấp dịch vụ di động của bạn không thể xem nội dung tin nhắn của bạn. Thậm chí Signal cũng không thể xem nội dung tin nhắn của bạn hoặc người bạn đang liên lạc. Signal không thu thập dữ liệu. Nếu bị trát đòi hầu tòa, Signal hầu như không thể tiết lộ gì về việc bạn sử dụng dịch vụ.
- Trên thực tế, tin tặc không thể hack nội dung tin nhắn của bạn. Họ sẽ phải bẻ khoá giao thức mã hóa Signal mà các chuyên gia bảo mật cho là tuyệt vời. (Ngược lại, SS7 đã nhiều lần bị hack)
- Stingrays không thể xem cuộc trò chuyện của bạn. Các nhà chức trách không thể theo dõi nội dung tin nhắn của Signal. Tất cả những gì họ có thể thấy là lưu lượng mã hóa được gửi qua lại giữa các máy chủ của Signal.
- Bạn có thể bảo vệ tài khoản Signal của mình bằng mã PIN, vì vậy kẻ lừa đảo không thể truy cập vào tài khoản Signal của bạn. Ngay cả khi kẻ lừa đảo bằng cách nào đó có thể đoán được mã PIN của bạn và truy cập vào tài khoản Signal của bạn, các tin nhắn Signal của bạn vẫn được lưu trữ trên điện thoại của bạn và sẽ không được đồng bộ hóa với bất kỳ thiết bị mới nào có quyền truy cập vào tài khoản của bạn.
Những dịch vụ bạn nên sử dụng để thay thế SMS
Mình đã sử dụng Signal làm ví dụ ở đây vì sự khác biệt rất rõ ràng — Signal là ứng dụng trò chuyện riêng tư được khuyến nghị rộng rãi nhất, với mã hóa end-to-end luôn được bật.
Nếu bạn đang sử dụng iPhone và giao tiếp với nhau bằng iMessage thì sẽ riêng tư và an toàn hơn nhiều so với sử dụng SMS thông thường. Hy vọng rằng một ngày nào đó, người dùng Android sẽ có các dịch vụ an toàn mã hóa end-to-end được tích hợp trong thiết bị sau khi RCS được cải tiến. Rất tiếc, iMessage và RCS không tương thích với nhau, vì vậy iPhone và điện thoại Android sẽ phải giao tiếp qua SMS — hoặc chuyển sang các ứng dụng trò chuyện khác nhau không được tích hợp sẵn.
Các ứng dụng trò chuyện khác cũng là một tùy chọn. Telegram rất phổ biến, mặc dù nó không sử dụng mã hóa end-to-end theo mặc định. Còn WhatsApp thì ít nhất sử dụng end-to-end theo mặc định, không giống như Facebook Messenger. Thậm chí Facebook Messenger còn được cho là an toàn hơn SMS.
Để bảo mật hai yếu tố, tốt nhất bạn nên tránh SMS cho các tác vụ thực sự quan trọng. Rất tiếc, một số dịch vụ vẫn sẽ sử dụng xác thực SMS — do thuận tiện. Bạn cũng nên thử các lựa chọn thay thế như Google cung cấp Advanced Protection. Điều đó nói lên rằng, bảo mật hai yếu tố dựa trên SMS vẫn tốt hơn là không có gì.
Tương lai của SMS: Liệu có khắc phục được lỗi bảo mật
Tin nhắn SMS là một công nghệ lỗi thời. Rõ ràng là nó không được xây dựng dựa trên tính riêng tư và bảo mật, và những thiết kế đó vẫn còn tồn tại cho đến ngày nay.
Hy vọng rằng, điều này sẽ được khắc phục trong tương lai. Nếu RCS trở nên hoàn thiện hơn, có mã hóa đầu cuối (end-to-end) và khả dụng trên tất cả các điện thoại Android — thì tất cả những gì Apple phải làm là đồng ý làm cho RCS tương thích với iMessage theo một cách nào đó. Sau đó, tất cả các điện thoại thông minh hiện đại sẽ có nhắn tin an toàn hơn mà không phụ thuộc vào các giao thức cổ xưa được tích hợp sẵn.