澳大利亞版電視節(jié)目《60分鐘時事》(60 Minutes)展示了黑客如何在數(shù)千公里外的德國竊聽并追蹤澳洲參議員。

存在于現(xiàn)代通訊技術(shù)中的一個大型安全漏洞使得全球數(shù)十億手機(jī)用戶的數(shù)據(jù)可能遭到秘密竊取，黑客可以竊聽電話并追蹤受害者地理位置。

手機(jī)信令系統(tǒng)System Signalling Number 7(SS7)存在漏洞，黑客、騙子、流氓政府和肆無忌憚的商業(yè)運(yùn)營商得以使用數(shù)以百計的在線端口進(jìn)行入侵。

“六十分鐘時事”記者羅斯·庫爾哈特(Ross Coulthart)在英國，澳大利亞參議員尼克·色諾芬(Nick Xenophon)在澳大利亞議會大廈，位于柏林的德國黑客可以攔截并錄下兩者間的通話。

SR Labs公司的黑客們在2008年首次發(fā)出針對該漏洞的警告。他們可以攔截并讀取色諾芬參議員從澳大利亞發(fā)送給位于倫敦的庫爾哈特的短信，還能追蹤到參議員的活動。比如參議員到日本進(jìn)行公務(wù)旅行，從東京和成田市開始，到他回到位于澳大利亞南部的家，整個過程都能被追蹤。

呼吁公開調(diào)查

同意參加這次入侵演示的色諾芬呼吁立即全面公開調(diào)查SS7。

色諾芬對“六十分鐘時事”表示，“這真的非常令人震驚，因為它影響到了每個人。任何擁有手機(jī)的人都可以被入侵、被竊聽、被騷擾。這種情況的影響極其巨大，但我們發(fā)現(xiàn)更令人震驚的事情是：安全機(jī)構(gòu)、情報機(jī)構(gòu)，他們知道這個漏洞”。

[[146760]]

德國黑客可以竊聽《60分鐘時事》節(jié)目上的兩位演示者之間的通話

進(jìn)行這次演示的德國黑客是SR Labs的盧卡·梅樂蒂(Luca Melette)，他補(bǔ)充說：“SS7并不安全，這讓我也十分震驚”。

另一位黑客托拜厄斯·恩格爾(Tobias Engel)首次警告了SS7存在的漏洞，他在2014年十二月的德國Chaos Computer Club大會上進(jìn)行了過程展示。

手機(jī)信令系統(tǒng)的弱點(diǎn)

SS7是一種信令系統(tǒng)，它服務(wù)于電話公司之間，可以讓手機(jī)在國與國之間漫游通話。根據(jù)國際協(xié)議規(guī)定，所有電信運(yùn)營商必須通過SS7系統(tǒng)將其客戶信息提供給另一家運(yùn)營商。

對手機(jī)號碼發(fā)出SS7請求，會立刻得到該手機(jī)的唯一標(biāo)識符(IMEI碼)，進(jìn)一步則可獲取該手機(jī)使用者的名字和聯(lián)系方式。不管用戶是否開啟了手機(jī)漫游，不管他們使用什么樣的賬戶，這種方式都行得通。而最令人不安的是，它會顯示當(dāng)前手機(jī)連接到的最近的信號塔。

只要別有用心的黑客能夠訪問SS7系統(tǒng)，通過該信息，他們實際上就可以將特定手機(jī)號碼的所有通話轉(zhuǎn)移到一臺在線錄音設(shè)備，然后在用戶不知不覺時使用中間人攻擊，將通話重定向到原本的被叫號碼上，監(jiān)聽任何手機(jī)通話。這種入侵方式還能將手機(jī)用戶的地理位置跟蹤信息在類似谷歌地圖這樣的應(yīng)用中顯示出來。

SS7攻擊，“一個現(xiàn)實”

從歷史上看，只有大型電信運(yùn)營商被允許訪問SS7，查詢用戶數(shù)據(jù)，但近年來，IP語音提供商(Voice Over IP)、小型電話公司和大量的第三方短信服務(wù)商都獲得了這種權(quán)限。目前也有人擔(dān)心一些具有SS7權(quán)限的運(yùn)營商會將權(quán)限非法轉(zhuǎn)租給第三方。

代表全球手機(jī)用戶的協(xié)會：全球移動通信系統(tǒng)協(xié)會(Groupe Speciale Mobile ASSOciation，GSMA)列出了220個國家的800個成員，他們具有完全的權(quán)限來運(yùn)營手機(jī)網(wǎng)絡(luò)，包括訪問如今存在巨大安全漏洞的SS7信令系統(tǒng)。

GSMA國家成員中包括很多貧窮不穩(wěn)定的戰(zhàn)亂國家的手機(jī)運(yùn)營商，比如伊拉克、敘利亞和阿富汗，這些國家存在連年的叛亂。存在這樣一種可能性，奪取了當(dāng)?shù)負(fù)碛蠸S7權(quán)限的電話公司的恐怖分子或罪犯利用它對電信系統(tǒng)造成破壞或進(jìn)行犯罪。

“六十分鐘時事”了解到，法國的一家電信運(yùn)營商最近發(fā)布了一份分析報告，文中揭示，近期來自非洲和中東的SS7請求呈爆發(fā)式增長，遠(yuǎn)超這些地區(qū)內(nèi)存在漫游的手機(jī)號碼數(shù)量，這意味著有些SS7任意時間查詢(Any Time Interrogation，ATI)請求獲得的用戶信息和位置可能被用于非法目的，比如間諜行為和刑事詐騙。

“SS7攻擊是真實存在的”，最近的一次電信大會上出現(xiàn)了這樣的說法。

在售的監(jiān)視系統(tǒng)

2014年8月，華盛頓郵報發(fā)表了一篇文章，稱監(jiān)視系統(tǒng)制造商正向全球的政府和其它客戶提供SS7訪問權(quán)限，以追蹤任何攜帶手機(jī)者的行蹤。這遠(yuǎn)遠(yuǎn)超出了該信令系統(tǒng)最初被設(shè)計的意圖，并引起了大量的對實質(zhì)性隱私問題(Substantial Privacy)和商業(yè)間諜活動的擔(dān)憂。

當(dāng)然，像美國國家安全局(National Security Agency，NSA)或澳大利亞信號局(Australian Signals Directorate，ASD)這樣屬于所謂五只眼情報聯(lián)盟的情報機(jī)構(gòu)擁有這種能力。但這個故事加深了人們的一種合理擔(dān)憂：流氓政府可以接入SS7，跟蹤政治異見者或針對競爭國家進(jìn)行間諜活動。

運(yùn)營商怎么說：

“六十分鐘時事”聯(lián)系了澳大利亞的主要電信公司澳電訊(Telstra)、沃達(dá)豐(Vodafone)和澳都斯(Optus)獲取評論。

澳電訊

澳電訊嚴(yán)肅對待客戶的安全和隱私，不斷檢測內(nèi)部網(wǎng)絡(luò)上的可疑活動。澳電訊偵測到惡意網(wǎng)絡(luò)活動后，會迅速采取行動，解決任何對客戶隱私的沖擊，并維護(hù)我們的網(wǎng)絡(luò)安全。

SS7是一個運(yùn)營商之間使用的協(xié)議，它可以指導(dǎo)運(yùn)營商之間的通話和短信。就像任何協(xié)議一樣，SS7容易受到復(fù)雜、資金充沛、帶有犯罪意圖的第三方攻擊。認(rèn)識到了這一點(diǎn)，我們設(shè)置了網(wǎng)絡(luò)監(jiān)控，它的監(jiān)測范圍比針對SS7更加廣泛，一旦我們檢測到異?；蚩梢傻姆欠ɑ顒?，就會采取行動并適時向相關(guān)主管機(jī)構(gòu)上報。

一旦我們在經(jīng)常性的監(jiān)控中檢測到移動網(wǎng)絡(luò)存在可疑的非法活動，就會向澳大利亞聯(lián)邦警察上報，以供調(diào)查，這也是我們的一貫做法。非法訪問本公司網(wǎng)絡(luò)、攔截客戶電話屬于非法行為，已經(jīng)存在該領(lǐng)域內(nèi)的法案，禁止擁有這種設(shè)備，禁止非法攔截。

澳電訊不會隨意猜測外國情報機(jī)構(gòu)或國家安全機(jī)構(gòu)所謂的能力或動機(jī)。

澳都斯

澳都斯對待隱私問題的態(tài)度是嚴(yán)肅的，不過我們不評論安全事務(wù)的細(xì)節(jié)。作為一家國家級電信基礎(chǔ)設(shè)施運(yùn)營商，澳都斯嚴(yán)肅對待承擔(dān)網(wǎng)絡(luò)及信息安全風(fēng)險的責(zé)任。我們定期與執(zhí)法部門和國家安全機(jī)構(gòu)聯(lián)系，審查我們的系統(tǒng)以評估風(fēng)險，并確保我們的安全流程和信息的完整性。

沃達(dá)豐

保護(hù)客戶的個人資料和信息是我們的首要任務(wù)。在沃達(dá)豐，我們已經(jīng)制定了相關(guān)的安全措施，以保護(hù)客戶不受非法通訊或非法數(shù)據(jù)訪問侵害。

我們不斷復(fù)查并升級我們的系統(tǒng)和流程，使用全球最佳的方法，杜絕任何非法訪問。沃達(dá)豐能夠充分意識到保護(hù)客戶通訊數(shù)據(jù)的法律責(zé)任，并遵守這些義務(wù)。

我們不知道任何使用SS7信令非法獲取沃達(dá)豐客戶通話及其它信息的情況。

唯一一家提供SS7的商業(yè)使用，以進(jìn)行定位跟蹤的公司是慧銳(Verint)，它位于紐約，在全球各地設(shè)有辦公室，包括澳大利亞。“六十分鐘時事”獲得了一份慧銳產(chǎn)品的機(jī)密手冊，該產(chǎn)品名為SkyLock，是一種蜂窩網(wǎng)絡(luò)跟蹤系統(tǒng)，其副標(biāo)題的標(biāo)語是：“定位、跟蹤、操縱”。

慧銳在其營銷材料中承諾，不會針對美國或以色列的手機(jī)用戶使用SkyLock，但其市場宣傳并不排除它會向客戶提供澳大利亞手機(jī)用戶數(shù)據(jù)的可能性。

如果其客戶擁有使用SS7的ATI請求能力的權(quán)限，就再也無法阻止他們使用SS7查詢并跟蹤全世界任何地方的手機(jī)了。

澳大利亞聯(lián)政府采購記錄顯示，2005至2012年期間，慧銳的澳大利亞辦公室向澳大利亞犯罪委員會提供了價值79萬5000美元的軟件、計算機(jī)服務(wù)和軟件維護(hù)與支持。

“六十分鐘時事”詢問慧銳是否向澳大利亞的客戶銷售過SkyLock，以及是否部署了保護(hù)措施，防止SkyLock用戶將其濫用于公司商業(yè)間諜和詐騙等非法目的。

NSA使用SS7的證據(jù)

安全產(chǎn)業(yè)界里一直存在這樣的推測：英國、美國、澳大利亞這樣的國家之所以沒有盡快修補(bǔ)SS7的漏洞，是因為這些國家的情報機(jī)構(gòu)正在使用它來進(jìn)行位置跟蹤和電話竊聽等間諜行為。

2013年十二月，澳大利亞某報紙詳細(xì)介紹了NSA泄密者愛德華·斯諾登(Edward Snowden)在2009年泄露的美國外交電文，當(dāng)時的澳大利亞國防信號局(現(xiàn)澳大利亞信號局)跟蹤了克里斯蒂安尼·海拉瓦蒂(Kristiani Herawati)的手機(jī)，她是印度尼西亞時任總統(tǒng)蘇西洛·班邦·尤多約諾(Susilo Bambang Yudhuyono)的夫人。

該竊聽行為的原理從未被揭示過，但看上去，SS7有可能是最佳解釋。對信令系統(tǒng)發(fā)出簡單的查詢就將得到印尼第一夫人唯一的IMEI號碼，然后可以啟用跟蹤并將電話轉(zhuǎn)接到錄音設(shè)備。

罪犯廣泛使用偽基站

“六十分鐘時事”報道過如何使用GSMK Cryptophone探測國際用戶識別碼(International Mobile Subscriber Identity，IMSI)抓取器，又名偽基站。結(jié)果表明，澳大利亞存在這樣的偽基站。CryptoPhone帶有一個基帶防火墻，它能夠檢測到偽基站強(qiáng)迫手機(jī)連接進(jìn)行連接的意圖，還會對IMSI抓取器試圖強(qiáng)迫3G或4G加密降級到2G的行為發(fā)出警報。2G是一種弱加密級別，很容易被破解。

在過去的幾個月里，“六十分鐘時事”記者羅斯·庫爾哈特在圍繞悉尼市中心的行動中檢測到了可疑的IMSI抓取器，包括在大橋街(Bridge Street)上的澳大利亞證券交易所大樓外。每一次偽基站試圖強(qiáng)迫手機(jī)使用未加密連接與其通信，都會導(dǎo)致很多普通手機(jī)上的數(shù)據(jù)遭到泄露。

德國黑客盧卡·梅樂蒂進(jìn)行了入侵演示

他在悉尼東郊某地點(diǎn)檢測到了多個偽基站，并在CryptoPhone發(fā)出警報時進(jìn)行了實時錄像。盡管確實存在一定的可能性，即這些IMSI檢測記錄都屬于正常的執(zhí)法行動，美國的經(jīng)驗則表明至少有一些偽基站是被罪犯和企業(yè)間諜以進(jìn)行欺詐和間諜行動為目的非法使用的。

ESD America是一家位于拉斯維加斯的公司，它銷售Cyptophone，致力于研發(fā)反監(jiān)視技術(shù)。該公司首席執(zhí)行官萊斯·戈德史密斯(Les Goldsmith)對媒體表示，他的公司已經(jīng)在美國檢測到了68個IMSI抓取器，包括在敏感政府聽證會和軍事設(shè)施附近。

他表示IMSI抓取器正被罪犯廣為使用，因為“罪犯手中的IMSI抓取器意味著他們能夠針對某個特定建筑，監(jiān)聽其電話并記錄下所有信息，等待某人在給打給銀行的電話中泄露自己的密碼，比如在進(jìn)行重要的私人交易時。”

檢測偽基站的技術(shù)突破

ESD和德國公司GSMK合作開發(fā)了一項名為Overwatch的技術(shù)，這是首項能夠?qū)崟r檢測偽基站，將它們和真實信號塔區(qū)別開的技術(shù)。GSMK總監(jiān)比約恩·拉普(Bjoern Rupp )在鏡頭前首次演示了Overwatch技術(shù)，展示了如何使用城市內(nèi)的傳感器對偽基站進(jìn)行三角定位，并在地圖上標(biāo)出。

Overwatch的目標(biāo)是給政府和運(yùn)營商提供前所未有的警報系統(tǒng)，在發(fā)現(xiàn)非法IMSI抓取器時進(jìn)行報警，并找到其位置。

該技術(shù)突破可能會影響過去幾十年內(nèi)情報機(jī)構(gòu)使用的最強(qiáng)大工具之一。GSMK和ESD也開發(fā)了另一個產(chǎn)品Oversight，它會檢測可疑的SS7活動。

歐洲的一些運(yùn)營商已經(jīng)配備了Oversight技術(shù)，報告顯示，他們已經(jīng)注意到了使用SS7的可疑活動，之后就可以阻止它們。

Oversight和Overwatch這兩項技術(shù)突破的潛在影響是巨大的：不論是政府還是流氓犯罪分子，濫用SS7和IMSI抓取器的好日子可能要到頭了。不過目前，SS7存在的巨大安全漏洞還沒有得到修補(bǔ)。

供銷售的SS7黑客服務(wù)

一個有趣的復(fù)雜案例。意大利的數(shù)字軍火商Hacking Team在2015年七月遭受了一次重大電子郵件泄露事故。事件中泄露的電子郵件中表明了該公司對于利用數(shù)據(jù)泄露的理解。“這是公然侵犯隱私!”Hacking Team首席執(zhí)行官戴維·文森澤蒂(David Vincenzetti)抱怨道，“他們怎么收集到這些信息的?”

他的技術(shù)專家返回的答案是：匿名的入侵者很有可能通過意大利電信公司(Telecom Italia)內(nèi)部人士，使用SS7訪問了他們的數(shù)據(jù)。

泄露的電子郵件還顯示，Hacking Team之前接觸過一家名為CleverSig的公司，后者聲稱可通過一家運(yùn)營商實現(xiàn)SS7追蹤，價格為每月1萬4000到1萬6000美元。

這表明，就像很多安全運(yùn)營商開始擔(dān)心的那樣，SS7信令系統(tǒng)的監(jiān)視能力現(xiàn)在已經(jīng)被肆無忌憚的商業(yè)運(yùn)營商所利用，謀取利潤。

媒體聯(lián)系了位于以色列的CleverSig公司的創(chuàng)始人埃坦.克倫(Eitan Keren)評論這次電子郵件泄露事件。對方表示，“并不是所有你看到的那些數(shù)據(jù)都是有效的。謹(jǐn)慎閱讀你拿到的數(shù)據(jù)。”然后他繼續(xù)否認(rèn)曾參與過SS7追蹤。同樣的問題也被拋給了慧銳公司，該公司是SkyLock監(jiān)視技術(shù)的制造商。對方?jīng)]有回應(yīng)。