.
Principais conclusões
- O Sistema de Sinalização nº 7 (SS7) é um protocolo de telefonia desatualizado que pode expor sua privacidade a ameaças cibernéticas e vigilância.
- As vulnerabilidades SS7 foram exploradas por criminosos para drenar contas bancárias, governos para rastrear usuários de celulares e empresas de inteligência para espionar pessoas em todo o mundo.
- Para se proteger das vulnerabilidades SS7, use aplicativos de mensagens seguros com criptografia de ponta a ponta, como Signal ou WhatsApp, pois eles oferecem melhor privacidade e segurança do que os serviços tradicionais de SMS e telefone.
Você já ouviu falar do Sistema de Sinalização nº 7 (SS7)? Você provavelmente não o fez, mas ainda o usa diariamente, assim como todos que você conhece. O problema é que esta tecnologia está muito desatualizada e muito insegura. No entanto, existem alternativas ao uso do SS7 e, o melhor de tudo, são gratuitas.
O que é SS7 e por que é inseguro?
O Sistema de Sinalização nº 7 é um conjunto de protocolos de telefonia que permite que redes de telecomunicações se comuniquem entre si. De certa forma, é um sistema de comunicação que permite que as redes telefônicas troquem informações importantes. Parcialmente, graças a esta tecnologia, você pode fazer ligações, enviar mensagens de texto e utilizar serviços semelhantes.
O SS7 foi introduzido pela primeira vez na década de 1970 e implantado na rede AT&T nos Estados Unidos. Logo depois, tornou-se padronizado para uso internacional e substituiu sistemas mais antigos em outros países do mundo. Na década de 1990, o SS7 teve uma adoção mais generalizada e tornou-se a espinha dorsal das telecomunicações globais.
O identificador de chamadas, o encaminhamento de chamadas e o serviço de mensagens curtas (SMS) também foram introduzidos na década de 1990, enquanto as redes móveis se expandiam globalmente. A integração do SS7 desempenhou um papel fundamental neste processo e a nossa sociedade não tem sido a mesma desde então. Poucos de nós podemos imaginar viver em um mundo onde é impossível enviar uma mensagem de texto para um amigo que usa uma operadora diferente, e isso se deve em grande parte à ampla adoção dessa tecnologia.
Qual é o problema com o SS7, então? Bem, o SS7 está desatualizado e inseguro, uma relíquia de quando as ameaças digitais não eram tão sofisticadas nem tão predominantes como hoje. Pelo menos desde meados da década de 2000, as falhas de segurança têm sido evidentes e só se tornaram mais pronunciadas com o tempo. Isto não é uma questão de especulação ou opinião, nem é um problema que afeta apenas uma rede, dispositivo ou indivíduo específico. Estas vulnerabilidades são inerentes ao próprio SS7.
Como as vulnerabilidades SS7 expõem sua privacidade
À medida que a tecnologia e o cibercrime se desenvolviam, o SS7 lutava para acompanhar. Dezenas de incidentes e violações de segurança de alto perfil foram registrados em todo o mundo nos últimos anos.
Por exemplo, em 2017, um grupo de criminosos não identificados aproveitou as falhas de segurança no SS7 para drenar dinheiro das contas bancárias das pessoas. Eles fizeram isso contornando a autenticação de dois fatores que certos bancos usavam para impedir o acesso não autorizado e proteger os clientes, de acordo com a Ars Technica. Na altura, o representante do Congresso dos EUA, Ted Lieu, apelou ao governo federal para corrigir estas falhas “devastadoras”, dizendo que é “inaceitável que a FCC e a indústria das telecomunicações não tenham agido mais cedo para proteger a nossa privacidade e segurança financeira”.
Da mesma forma, o The Washington Post informou em 2014 que uma vulnerabilidade SS7 permite que entidades governamentais rastreiem utilizadores de telemóveis em tempo real. Uma fonte disse ao canal que “dezenas” de países estavam fazendo isso, enquanto especialistas em segurança observaram que nada impede grupos de hackers e organizações semelhantes de fazerem o mesmo. Em 2020, um denunciante revelou que a Arábia Saudita estava a explorar estas mesmas vulnerabilidades para localizar os seus cidadãos nos Estados Unidos, de acordo com o The Guardian.
Enquanto isso, uma investigação do Haaretz de 2020 descobriu que a empresa privada de inteligência israelense Rayzone Group estava abusando das falhas do SS7 para rastrear pessoas ao redor do mundo em nome de seus clientes. Cerca de um ano depois, o CEO de uma empresa suíça de tecnologia focada em mensagens de texto automatizadas explorou essas mesmas vulnerabilidades para espionar pessoas, de acordo com o Bureau of Investigative Journalism.
Tenha em mente que isto é apenas a ponta do iceberg: é evidente que o SS7 é inseguro e extremamente vulnerável à exploração. É por isso que você não deve usar SMS para proteger sua privacidade – presuma que tudo o que você envia por texto pode ser interceptado e lido pelo seu governo ou por quase qualquer outra pessoa com as ferramentas e conhecimentos adequados.
Mas a verdadeira questão é: por que nada está sendo feito para resolver as vulnerabilidades do SS7? As operadoras e as redes móveis certamente estão cientes disso; os especialistas em segurança já os conhecem há muito tempo, tal como os políticos. Na verdade, alguns falaram abertamente sobre eles, como Lieu, e instaram os órgãos reguladores a tomar medidas. No entanto, nada mudou. Quando o The Register noticiou isto, concluiu que “talvez os serviços de inteligência da América gostem da ideia de, para eles, redes facilmente comprometidas”.
Deve-se notar, entretanto, que esta é apenas uma explicação possível que pode responder apenas parcialmente à questão. SS7 é uma infra-estrutura legada e a realização de mudanças radicais exigiria provavelmente a cooperação internacional e a implantação e implementação de novas tecnologias, o que exigiria tempo e investimento financeiro significativos. Em suma, os incentivos para fazer as mudanças necessárias simplesmente não existem.
O que você pode fazer para se proteger contra vulnerabilidades SS7
Se o SS7 é onipresente, o que as pessoas comuns podem fazer para se proteger? Uma solução simples é usar aplicativos de mensagens seguros para mensagens de texto e chamadas telefônicas, pois eles oferecem uma camada de proteção ausente dos serviços tradicionais de SMS e telefone sustentados pelo SS7.
Esses aplicativos usam tecnologia muito mais segura e privada do que o SS7, mas se você quiser ir além, considere usar um aplicativo de mensagens criptografadas de ponta a ponta – a criptografia de ponta a ponta garante que suas comunicações estejam protegidas contra espionagem. Existem dezenas desses aplicativos no mercado e muitos são totalmente gratuitos. O Signal é sem dúvida o aplicativo de mensagens mais seguro disponível atualmente, mas o WhatsApp não fica muito atrás.
O Signal é de código aberto, possui um algoritmo de criptografia poderoso e é incrivelmente seguro. O WhatsApp, por outro lado, é provavelmente a melhor opção para quem quer um aplicativo simples, fácil de usar, que todos conheçam e já tenham no celular. No entanto, alguns evitam o WhatsApp, pois ele é propriedade da Meta (controladora do Facebook e do Instagram) e acreditam que ele tem problemas de privacidade.
Apesar dos problemas gritantes, SS7 não vai a lugar nenhum
SS7 está desatualizado e profundamente falho, mas não vai a lugar nenhum. Pelo menos por enquanto, não há indicação de que a indústria das telecomunicações irá eliminá-lo gradualmente. Até que o SS7 seja substituído por uma tecnologia melhor e mais segura, faça o que puder para proteger sua privacidade.
É verdade que nem sempre é possível evitar o uso de SMS ou fazer chamadas, mas instalar um aplicativo de comunicação com criptografia ponta a ponta é um bom começo. Em qualquer caso, manter-se protegido contra vigilância e outras ameaças exige um compromisso sério e sustentado com a higiene e segurança digital.
.
