ProtonMail: sms is fundamenteel stuk en moet worden vermeden
Sms (short message service) is fundamenteel stuk en moet waar mogelijk worden vermeden, zo adviseert versleutelde e-mailprovider ProtonMail. Bijna alle telecomproviders ondersteunen sms en nog altijd worden er dagelijks grote aantal sms'jes verstuurd. Sms-berichten zijn echter onversleuteld.
Daardoor kunnen telecomproviders elk ontvangen en verstuurd bericht lezen en deze informatie met derde partijen delen, stelt Douglas Crawford van ProtonMail. Een ander risico is het gebruik van sms voor tweefactorauthenticatie (2FA). Een aanvaller zou door bijvoorbeeld sim-swapping het telefoonnummer van een slachtoffer kunnen uitvoeren en zo toegang tot 2FA-codes en accounts krijgen.
"Sms is fundamenteel stuk en moet waar mogelijk worden vermeden", stelt Crawford. In plaats daarvan kunnen iPhone-gebruikers, wanneer al hun contacten ook een iPhone gebruiken, voor Apples iMessage kiezen. "Als je iCloud-back-ups uitschakelt, is iMessage zonder twijfel een verbetering ten opzichte van sms." Voor de meeste mensen zal echter een aparte chatapp die de privacy van gebruikers respecteert de beste optie zijn, gaat Crawford verder.
Vorig jaar kwam ProtonMail met een vergelijking van zeven chatapps. Van de zeven apps; Signal, Telegram, Threema, Wick Me, Wire, Element en Keybase, scoort geen enkele app op alle punten een voldoende. Element en Threema scoren de meeste groene vinkjes. Het probleem met WhatsApp is volgens ProtonMail geen goede privacykeuze, omdat Facebook toegang tot metadata heeft en die kan misbruiken. Zo ziet het techbedrijf wie met wie communiceert, wanneer, waarvandaan, op welk moment, hoe vaak en vanaf welk apparaat. Als het gaat om een alternatief voor WhatsApp krijgt Signal van ProtonMail de voorkeur.
Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.
Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.
Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
Simswapping doet niet elke scriptkiddie en de ether afluisteren is redelijk beperkt tot je vrij directe omgeving.
Dumbphones met SMS zijn wél veilig voor 2FA authenticatie?!? Is daar simswapping dan niet mogelijk? Een beetje domme reactie...
Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.
Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
van SMS is al heel lang bekend dat je dat niet veilig kan gebruiken, zeker niet voor 2FA. waar haal je dumbphones vandaan? Elke telefoon waar een sim in zit kan misbruikt worden op deze manier.
Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.
Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
En lijkt me prima dat Protonmail nog even benadrukt dat SMS niet beveiligd is, want ik denk dat er nog teveel mensen en bedrijven zijn die niet doorhebben.
Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.
Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
van SMS is al heel lang bekend dat je dat niet veilig kan gebruiken, zeker niet voor 2FA. waar haal je dumbphones vandaan? Elke telefoon waar een sim in zit kan misbruikt worden op deze manier.
Nadeel is wel dat het op een moderne smartphone altijd aan staat en ontvangst van onzichtbare tracking sms-jes altijd mogelijk is.
Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.
Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
van SMS is al heel lang bekend dat je dat niet veilig kan gebruiken, zeker niet voor 2FA. waar haal je dumbphones vandaan? Elke telefoon waar een sim in zit kan misbruikt worden op deze manier.
https://www.security.nl/posting/707888/Google+voorziet+Android+Berichten-app+van+end-to-end+encryptie
Afgelopen maand bleek Google ook met de Telefoon en de Berichten app met ons mee te gluren...
https://www.security.nl/posting/746638/Google+Dialer+en+Messages+verzamelen+allerlei+priv%C3%A9data+Androidgebruikers
ProtonMail heeft dus helemaal gelijk: SMS en RCS zijn fundamenteel stuk en moeten beide worden vermeden.
Dumbphones met SMS zijn wél veilig voor 2FA authenticatie?!? Is daar simswapping dan niet mogelijk? Een beetje domme reactie...
Armed with these details, the fraudster contacts the victim's mobile telephone provider. The fraudster uses social engineering techniques to convince the telephone company to port the victim's phone number to the fraudster's SIM. This is done, for example, by impersonating the victim using personal details to appear authentic and claiming that they have lost their phone. In some countries, notably India and Nigeria, the fraudster will have to convince the victim to approve the SIM swap by pressing 1.
In many cases, SIM numbers are changed directly by telecom company employees bribed by criminals.
Once this happens, the victim's phone will lose connection to the network, and the fraudster will receive all the SMS and voice calls intended for the victim. This allows the fraudster to intercept any one-time passwords sent via text or telephone calls sent to the victim and thus allows them to circumvent many two-factor authentication methods of accounts (be they bank accounts, social media accounts, etc.) that rely on text messages or telephone calls. Since so many services allow password resets with only access to a recovery phone number, the scam allows criminals to gain access to almost any account tied to the hijacked number. This may allow them to directly transfer funds from a bank account, extort the rightful owner, or sell accounts on the black market for identity theft.
Dit maakt duidelijk dat simswapping alleen kan werken als een fraudeur niet alleen beschikt over andere persoonlijke gegevens van een beoogd slachtoffer, bijv. rekeningnummer EN wachtwoord, maar dan ook nog een SIM heeft waar de relevante sms´jes met eenmalige codes naartoe worden gestuurd. Het leuke met dumbphones is dat die niet de hele tijd aan staan en ook niet verbonden zijn met internet. Daar kom je dus niet makkelijk binnen. De opties voor de crimineel die al een accountnaam en een wachtwoord heeft bemachtigd, zijn dan:
1. om het apparaat (de dumbphone) waarop sms´jes worden ontvangen, zelf fysiek in handen te krijgen.
2. om de SIM-kaart uit het fysieke apparaat te stelen.
3. om personeel van de telecomprovider om te kopen of op een andere manier zover te krijgen dat de sms´jes naar een andere SIM worden doorgestuurd.
4. om de rechtmatige ontvanger van de sms´jes zover te krijgen dat die een simswap legitimeert.
Kweenie, maar zolang ik mijn wachtwoorden en pincodes niet eens opschrijf, laat staan bewaar in de cloud, loont het voor criminelen niet om mijn SIM in handen te krijgen of te swappen. Daarnaast helpt het als bedragen van een bankrekeningnummer alleen naar een vaste tegenrekening kunnen worden overgemaakt. Dan is de beveiliging van die tegenrekening al voldoende om eventuele fraude te verijdelen en, even belangrijk, tijdig te ontdekken.
Dat sms-berichten onversleuteld zijn, is voor 2FA op zichzelf niet erg, want zo´n sms´je moet binnen een paar minuten na ontvangst gebruikt zijn anders is het al niet meer geldig.
Maar goed, stel dat ik mijn sleutelbos op straat laat vallen en ook nog mijn portemonnee met daarin een briefje dat de sleutel met het rode labeltje hoort bij de voordeur van het huis van die-en-die op dat adres, en een crimineel raapt dat alles op, ja, dan moeten er natuurlijk heel snel wat sloten worden vervangen. Tegen ultieme domheid is geen beveiliging opgewassen.
Iedereen stelt zijn eigen regeltjes op wat acceptabele mail is en wat gewoon in de prullenbak gemikt moet/mag worden,
zonder terugmelding aan de verzender. Je bent er gewoon niet meer zeker van of iets aankomt.
Iedereen stelt zijn eigen regeltjes op wat acceptabele mail is en wat gewoon in de prullenbak gemikt moet/mag worden,
zonder terugmelding aan de verzender. Je bent er gewoon niet meer zeker van of iets aankomt.
Ja en met briefpost is dat helemaal erg.
En weet je nog hoe dat vroeger was, dat je de stad inliep en opeens besefte dat je niet precies wist waar de dichtstbijzijnde telefooncel was voor het geval dat...
Verschrikkelijke tijden waren dat. Zo onbezorgd.
De tijd dat een griepgolf nog een griepgolf was en niet een potentiële katastrofe waar de maatschappij aan ten onder dreigt te gaan.
De tijd dat mensen nog mensen waren en geen levende besmettingsbommen.
Weet je WAT tegenwoordig fundamenteel stuk is en moet worden vermeden?
Wij, mensen.
Proton wil mogelijk een alternatief voor 2FA-met-SMS promoten dat niet met dumbphones gaat. Als 2FA-met-SMS zou worden uitgefaseerd, kan mensen de toegang tot diensten feitelijk ontzegd worden als ze geen smartphone aanschaffen. Als ze een smartphone aanschaffen, kunnen ze continu fijnmazig worden gevolgd en wordt het risico op app-verslaving vergroot.
Ik kan me dus wel voorstellen dat sommige mensen (geen rijke piefen) liever inloggen met een 2FA in de vorm van SMS met een dumbphone, dan de privacy-nadelen te ondervinden die de aanschaf en regulier gebruik van een smartphone, alsmede de gewenning daaraan, met zich meebrengen.
Dat brengt Protonmail, die zich laat voorstaan op het bieden van privacy, in de positie dat ze iets adviseren dat mogelijk in sommige opzichten juist de privacy vermindert.
M.J.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
AIVD
Ben jij nieuwsgierig naar de verschillende risicoscenario’s en dreigingen die komen kijken bij het beveiligen van staatsgeheimen? Zie jij het als een uitdaging om jouw collega’s die vaak al veiligheidsbewust zijn, te adviseren over nóg betere informatie-beveiliging?
Zorgen voor verbinding én KPN beter leren kennen. Op 16 maart brengen we mensen die zich sociaal geïsoleerd voelen weer in contact met anderen in het Rijksmuseum. Meld je nu aan! #hetmooistecontact
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?
Full Stack Developer (Python)
Lijkt het jou leuk om je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Certified Secure maakt gebruik van de latest tech-stacks, wij bouwen praktisch alles in Python, maar soms ook in Java, C, Assembly of PHP.