image

ProtonMail: sms is fundamenteel stuk en moet worden vermeden

donderdag 31 maart 2022, 11:33 door Redactie, 15 reacties

Sms (short message service) is fundamenteel stuk en moet waar mogelijk worden vermeden, zo adviseert versleutelde e-mailprovider ProtonMail. Bijna alle telecomproviders ondersteunen sms en nog altijd worden er dagelijks grote aantal sms'jes verstuurd. Sms-berichten zijn echter onversleuteld.

Daardoor kunnen telecomproviders elk ontvangen en verstuurd bericht lezen en deze informatie met derde partijen delen, stelt Douglas Crawford van ProtonMail. Een ander risico is het gebruik van sms voor tweefactorauthenticatie (2FA). Een aanvaller zou door bijvoorbeeld sim-swapping het telefoonnummer van een slachtoffer kunnen uitvoeren en zo toegang tot 2FA-codes en accounts krijgen.

"Sms is fundamenteel stuk en moet waar mogelijk worden vermeden", stelt Crawford. In plaats daarvan kunnen iPhone-gebruikers, wanneer al hun contacten ook een iPhone gebruiken, voor Apples iMessage kiezen. "Als je iCloud-back-ups uitschakelt, is iMessage zonder twijfel een verbetering ten opzichte van sms." Voor de meeste mensen zal echter een aparte chatapp die de privacy van gebruikers respecteert de beste optie zijn, gaat Crawford verder.

Vorig jaar kwam ProtonMail met een vergelijking van zeven chatapps. Van de zeven apps; Signal, Telegram, Threema, Wick Me, Wire, Element en Keybase, scoort geen enkele app op alle punten een voldoende. Element en Threema scoren de meeste groene vinkjes. Het probleem met WhatsApp is volgens ProtonMail geen goede privacykeuze, omdat Facebook toegang tot metadata heeft en die kan misbruiken. Zo ziet het techbedrijf wie met wie communiceert, wanneer, waarvandaan, op welk moment, hoe vaak en vanaf welk apparaat. Als het gaat om een alternatief voor WhatsApp krijgt Signal van ProtonMail de voorkeur.

Image

Reacties (15)
31-03-2022, 12:14 door Anoniem
Oh, oh,

Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.

Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
31-03-2022, 13:21 door Anoniem
Door Anoniem: Oh, oh,

Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.

Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
SMS is niet veilig voor hoge piefen of hele rijke personen die een gericht doelwit kunnen zijn. Al is dit wel een beetje afhankelijk van waar je verblijft. Hier in Nederland en het meeste van de EU is SMS veilig zat voor de meeste normale gebruikers.

Simswapping doet niet elke scriptkiddie en de ether afluisteren is redelijk beperkt tot je vrij directe omgeving.
31-03-2022, 13:41 door musiman
@Anoniem (12:14)

Dumbphones met SMS zijn wél veilig voor 2FA authenticatie?!? Is daar simswapping dan niet mogelijk? Een beetje domme reactie...
31-03-2022, 13:48 door Anoniem
Door Anoniem: Oh, oh,

Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.

Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.

van SMS is al heel lang bekend dat je dat niet veilig kan gebruiken, zeker niet voor 2FA. waar haal je dumbphones vandaan? Elke telefoon waar een sim in zit kan misbruikt worden op deze manier.
31-03-2022, 14:08 door Anoniem
Mensen moeten beseffen dat o.a. email, sms en http verkeer gezien moet worden als een anzichtkaart, iedereen kan de tekst op zo'n kaart lezen. Dus als je een sms verstuurd "Ik ben er om 10 uur" dan kan dat prima maar gevoelige informatie zoals response codes etc. moet je niet via mail of sms doen.
31-03-2022, 14:17 door Anoniem
Door Anoniem: Oh, oh,
Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.

Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.
Als je me dan even wilt uitleggen waarom simswapping geen probleem is voor dumbphones?

En lijkt me prima dat Protonmail nog even benadrukt dat SMS niet beveiligd is, want ik denk dat er nog teveel mensen en bedrijven zijn die niet doorhebben.
31-03-2022, 14:37 door Anoniem
Door Anoniem:
Door Anoniem: Oh, oh,

Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.

Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.

van SMS is al heel lang bekend dat je dat niet veilig kan gebruiken, zeker niet voor 2FA. waar haal je dumbphones vandaan? Elke telefoon waar een sim in zit kan misbruikt worden op deze manier.
Ja. Iedereen is zoooooo belangrijk, dat hij/ zij niet vrezen voor simswapping. Wat een geklets zeg?
31-03-2022, 14:50 door Anoniem
SMS heeft als voordeel dat het (door de beperkte payload) relatief lastig is om een moderne smartphone zero click te besmetten met mallware.
Nadeel is wel dat het op een moderne smartphone altijd aan staat en ontvangst van onzichtbare tracking sms-jes altijd mogelijk is.
31-03-2022, 14:59 door majortom
Door Anoniem:
Door Anoniem: Oh, oh,

Ik waardeerde Protonmail altijd, maar als ze alternatieven gaan bashen, is het met mijn waardering gedaan. sms-berichten zijn prima als het om onschuldige berichtjes gaat. Natuurlijk moet je per sms niet je diepste zieleroerselen gaan blootgeven. Wat betreft 2FA, daar is sms behoorlijk veilig wanneer het om dumbphones gaat, die in dat opzicht dus eigenlijk best wel smart zijn.

Protonmail keert zich tegen gebruik van dumbphones? Jammer, jammer... Ik had ze hoog.

van SMS is al heel lang bekend dat je dat niet veilig kan gebruiken, zeker niet voor 2FA. waar haal je dumbphones vandaan? Elke telefoon waar een sim in zit kan misbruikt worden op deze manier.
Uiteindelijk is SIM swapping alleen mogelijk omdat de telco providers geen goede identificatie van de gebruiker die een telefoonnummer aan een andere SIM wil koppelen doet. Als je dat zou verbeteren wordt SIM swapping ook een stuk lastiger.
31-03-2022, 15:32 door Anoniem
Met de introductie van RCS heeft men in 2021 nog geprobeerd om het SMS-protocol te vernieuwen...

https://www.security.nl/posting/707888/Google+voorziet+Android+Berichten-app+van+end-to-end+encryptie


Afgelopen maand bleek Google ook met de Telefoon en de Berichten app met ons mee te gluren...

https://www.security.nl/posting/746638/Google+Dialer+en+Messages+verzamelen+allerlei+priv%C3%A9data+Androidgebruikers


ProtonMail heeft dus helemaal gelijk: SMS en RCS zijn fundamenteel stuk en moeten beide worden vermeden.
31-03-2022, 18:40 door Anoniem
Door musiman: @Anoniem (12:14)

Dumbphones met SMS zijn wél veilig voor 2FA authenticatie?!? Is daar simswapping dan niet mogelijk? Een beetje domme reactie...

The scam begins with a fraudster gathering personal details about the victim, either by use of phishing emails, by buying them from organised criminals, or by directly socially engineering the victim.

Armed with these details, the fraudster contacts the victim's mobile telephone provider. The fraudster uses social engineering techniques to convince the telephone company to port the victim's phone number to the fraudster's SIM. This is done, for example, by impersonating the victim using personal details to appear authentic and claiming that they have lost their phone. In some countries, notably India and Nigeria, the fraudster will have to convince the victim to approve the SIM swap by pressing 1.

In many cases, SIM numbers are changed directly by telecom company employees bribed by criminals.

Once this happens, the victim's phone will lose connection to the network, and the fraudster will receive all the SMS and voice calls intended for the victim. This allows the fraudster to intercept any one-time passwords sent via text or telephone calls sent to the victim and thus allows them to circumvent many two-factor authentication methods of accounts (be they bank accounts, social media accounts, etc.) that rely on text messages or telephone calls. Since so many services allow password resets with only access to a recovery phone number, the scam allows criminals to gain access to almost any account tied to the hijacked number. This may allow them to directly transfer funds from a bank account, extort the rightful owner, or sell accounts on the black market for identity theft.

Dit maakt duidelijk dat simswapping alleen kan werken als een fraudeur niet alleen beschikt over andere persoonlijke gegevens van een beoogd slachtoffer, bijv. rekeningnummer EN wachtwoord, maar dan ook nog een SIM heeft waar de relevante sms´jes met eenmalige codes naartoe worden gestuurd. Het leuke met dumbphones is dat die niet de hele tijd aan staan en ook niet verbonden zijn met internet. Daar kom je dus niet makkelijk binnen. De opties voor de crimineel die al een accountnaam en een wachtwoord heeft bemachtigd, zijn dan:
1. om het apparaat (de dumbphone) waarop sms´jes worden ontvangen, zelf fysiek in handen te krijgen.
2. om de SIM-kaart uit het fysieke apparaat te stelen.
3. om personeel van de telecomprovider om te kopen of op een andere manier zover te krijgen dat de sms´jes naar een andere SIM worden doorgestuurd.
4. om de rechtmatige ontvanger van de sms´jes zover te krijgen dat die een simswap legitimeert.

Kweenie, maar zolang ik mijn wachtwoorden en pincodes niet eens opschrijf, laat staan bewaar in de cloud, loont het voor criminelen niet om mijn SIM in handen te krijgen of te swappen. Daarnaast helpt het als bedragen van een bankrekeningnummer alleen naar een vaste tegenrekening kunnen worden overgemaakt. Dan is de beveiliging van die tegenrekening al voldoende om eventuele fraude te verijdelen en, even belangrijk, tijdig te ontdekken.

Dat sms-berichten onversleuteld zijn, is voor 2FA op zichzelf niet erg, want zo´n sms´je moet binnen een paar minuten na ontvangst gebruikt zijn anders is het al niet meer geldig.

Maar goed, stel dat ik mijn sleutelbos op straat laat vallen en ook nog mijn portemonnee met daarin een briefje dat de sleutel met het rode labeltje hoort bij de voordeur van het huis van die-en-die op dat adres, en een crimineel raapt dat alles op, ja, dan moeten er natuurlijk heel snel wat sloten worden vervangen. Tegen ultieme domheid is geen beveiliging opgewassen.
31-03-2022, 19:19 door Anoniem
Sms (short message service) is fundamenteel stuk en moet waar mogelijk worden vermeden, zo adviseert versleutelde e-mailprovider ProtonMail.
Weet je WAT tegenwoordig fundamenteel stuk is en moet worden vermeden? e-mail!
Iedereen stelt zijn eigen regeltjes op wat acceptabele mail is en wat gewoon in de prullenbak gemikt moet/mag worden,
zonder terugmelding aan de verzender. Je bent er gewoon niet meer zeker van of iets aankomt.
31-03-2022, 20:06 door Anoniem
Door Anoniem:
Sms (short message service) is fundamenteel stuk en moet waar mogelijk worden vermeden, zo adviseert versleutelde e-mailprovider ProtonMail.
Weet je WAT tegenwoordig fundamenteel stuk is en moet worden vermeden? e-mail!
Iedereen stelt zijn eigen regeltjes op wat acceptabele mail is en wat gewoon in de prullenbak gemikt moet/mag worden,
zonder terugmelding aan de verzender. Je bent er gewoon niet meer zeker van of iets aankomt.

Ja en met briefpost is dat helemaal erg.
En weet je nog hoe dat vroeger was, dat je de stad inliep en opeens besefte dat je niet precies wist waar de dichtstbijzijnde telefooncel was voor het geval dat...
Verschrikkelijke tijden waren dat. Zo onbezorgd.
De tijd dat een griepgolf nog een griepgolf was en niet een potentiële katastrofe waar de maatschappij aan ten onder dreigt te gaan.
De tijd dat mensen nog mensen waren en geen levende besmettingsbommen.
Weet je WAT tegenwoordig fundamenteel stuk is en moet worden vermeden?
Wij, mensen.
31-03-2022, 20:17 door linuxpro
Ze hebben wel gelijk, sms is nooit bedoeld om ingezet te worden voor security gerelateerde zaken. Daar is het te oud voor, mist elke vorm van encryptie en is dan ook totaal niet veilig.
01-04-2022, 08:06 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 01-04-2022, 08:08
Door Anoniem: van SMS is al heel lang bekend dat je dat niet veilig kan gebruiken, zeker niet voor 2FA. waar haal je dumbphones vandaan? Elke telefoon waar een sim in zit kan misbruikt worden op deze manier.

Proton wil mogelijk een alternatief voor 2FA-met-SMS promoten dat niet met dumbphones gaat. Als 2FA-met-SMS zou worden uitgefaseerd, kan mensen de toegang tot diensten feitelijk ontzegd worden als ze geen smartphone aanschaffen. Als ze een smartphone aanschaffen, kunnen ze continu fijnmazig worden gevolgd en wordt het risico op app-verslaving vergroot.

Ik kan me dus wel voorstellen dat sommige mensen (geen rijke piefen) liever inloggen met een 2FA in de vorm van SMS met een dumbphone, dan de privacy-nadelen te ondervinden die de aanschaf en regulier gebruik van een smartphone, alsmede de gewenning daaraan, met zich meebrengen.

Dat brengt Protonmail, die zich laat voorstaan op het bieden van privacy, in de positie dat ze iets adviseren dat mogelijk in sommige opzichten juist de privacy vermindert.

M.J.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.