Het Amerikaanse cyberagentschap CISA heeft vandaag het advies gegeven om alleen end-to-end versleuteld te communiceren, alsmede te stoppen met sms-gebaseerde multifactorauthenticatie (MFA) en persoonlijke vpn-diensten. Het advies staat in een document over best practices voor mobiele communicatie en is geschikt voor iedereen, maar met name voor 'highly targeted' individuen, aldus de beschrijving (pdf).

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security claimt dat aan China gelieerde aanvallers erin zijn geslaagd om toegang tot de systemen van telecomproviders te krijgen en zo gespreksgegevens van een 'beperkt aantal highly targeted' individuen konden compromitteren. Volgens het CISA is het belangrijk dat 'highly targeted' individuen meteen hun communicatie beveiligen en aannemen dat al hun communicatie het risico loopt te worden onderschept.

Het advies bevat enkele algemene aanbevelingen, waaronder het gebruik van alleen end-to-end versleutelde communicatie. De Amerikaanse overheidsdienst noemt daarbij 'Signal of soortgelijke apps' als voorbeeld. Verder wordt aangeraden om geen sms-gebaseerde MFA te gebruiken en voor de nieuwste telefoonhardware te kiezen, omdat die vaak belangrijke securityfeatures bevatten die oudere hardware niet kan ondersteunen.

Ook wordt met klem afgeraden een persoonlijke vpn-dienst te gebruiken. "Persoonlijke vpn's verplaatsen het restrisico van je internetprovider naar de vpn-provider, wat vaak het aanvalsoppervlak vergroot. Veel gratis en commerciële vpn-providers hebben dubieus security- en privacybeleid." Het CISA benadrukt dat het advies niet gaat over vpn-oplossingen waarmee bedrijven hun medewerkers toegang tot data of applicaties geven.

Verder bevat het advies specifieke aanbevelingen voor iPhones en Androidtelefoons. Zo wordt iPhone-eigenaren aangeraden de Lockdown Mode in te schakelen, Apple iCloud Private Relay te gebruiken, encrypted DNS in te stellen en ervoor te zorgen dat berichten niet via sms worden verstuurd. Androidgebruikers wordt aangeraden te kiezen voor fabrikanten met een goed security track record die hun telefoons lang van beveiligingsupdates voorzien. Daarnaast geeft de Amerikaanse overheidsdienst om alleen Rich Communication Services (RCS) te gebruiken als end-to-end encryptie staat ingeschakeld.