4月28日，有不少網(wǎng)友表示收到一條奇怪的短信，短信內(nèi)容是“123456789...”一連串的數(shù)字內(nèi)容，發(fā)送短信的號碼只跟自己的號碼差一位數(shù)。

4月29日，中國移動官方微博回應(yīng)稱：2022年4月28日晚，136號段部分客戶收到130開頭號碼(主叫號碼后8位與被叫號碼后8位一致)發(fā)來的亂碼短信，發(fā)現(xiàn)問題后，公司立即啟動應(yīng)急響應(yīng)流程，對相關(guān)短信進(jìn)行攔截處理。

經(jīng)協(xié)同中國聯(lián)通核實(shí)，原因?yàn)橹袊?lián)通山東分公司進(jìn)行系統(tǒng)升級測試所致，中國聯(lián)通在定位原因后已迅速進(jìn)行了相應(yīng)處置。

雖然這是一次烏龍事件并非是由網(wǎng)絡(luò)攻擊引起，通過應(yīng)急服務(wù)處理得到了妥善的解決，但顯然這并不意味著我們應(yīng)該對通訊安全放松警惕。事實(shí)上在通訊行業(yè)，一直存在著一些亟待解決的頑固漏洞，比如今天文章的主角SS7漏洞，就是其中之一。SS7漏洞堪稱通訊行業(yè)的“核彈級漏洞”，t它信行業(yè)付出了許多代價(jià)，可允許攻擊者竊取用戶的通話和短信。

更有意思的是，這個漏洞雖然存在已久，但是卻一直在被攻擊者利用。那么，今天咱們就再聊聊這個神奇的SS7漏洞。

SS7漏洞由來已久

SS7漏洞最早被披露出來是在1998年的歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI)文檔中，報(bào)告認(rèn)為“SS7 中缺乏足夠的安全性，移動運(yùn)營商需要保護(hù)自己不被黑客攻擊。如有疏忽，可能導(dǎo)致網(wǎng)絡(luò)停止或無法正常運(yùn)行”。

而SS7漏洞廣為大家熟知則是在2014年。4月，在美國CBS電視臺一檔名為《60分鐘》的新聞節(jié)目中，主持人向觀眾公開展示了通信行業(yè)一個核彈級漏洞，即SS7漏洞：在美國國會議員Ted Lieu的同意下，兩名德國安全研究實(shí)驗(yàn)室安全研究員成功監(jiān)聽了議員跟他人的通話，并且還可以追蹤到他的確切位置。

節(jié)目一經(jīng)播出立刻引發(fā)了美國民眾對于SS7漏洞的擔(dān)憂，有議員借此呼吁召開國會聽證會討論SS7漏洞的問題，聯(lián)邦通信委員會(FCC)也表示計(jì)劃就此問題進(jìn)行審查。

此時，人們不禁回想起2014年2月爆發(fā)的美國駐克烏蘭大使泄密事件。有人認(rèn)為，之所以駐烏克蘭大使和美國國務(wù)卿助理的通話會被公布在YouTube上，很有可能是因?yàn)橛腥死肧S7漏洞進(jìn)行了竊聽。而后烏克蘭政府發(fā)布的一份報(bào)告進(jìn)一步證實(shí)了這一猜想，同時指出錄音數(shù)據(jù)被發(fā)送到俄羅斯，很有可能已經(jīng)“泄密”。

同年，在德國召開的第地31屆Chaos通信大會上，兩位安全專家在主題演講中著重強(qiáng)調(diào)了SS7漏洞，呼吁企業(yè)和組織重視該問題，Positive Technologies公司也在12月發(fā)布了相關(guān)研究的報(bào)告。

此后，SS7漏洞一直被攻擊者肆意利用，竊取他人通話記錄或短信驗(yàn)證碼，并以此為跳板發(fā)起更層次的網(wǎng)絡(luò)攻擊，給很多企業(yè)和組織造成嚴(yán)重的影響。

例如在2017年，德國移動電信運(yùn)營商O2電信公司承認(rèn)，其部分用戶由于SS7協(xié)議漏洞被黑客劫持了2FA短信驗(yàn)證，導(dǎo)致用戶銀行卡賬戶被盜。攻擊者在午夜發(fā)起了這次攻擊，不少用戶在熟睡中損失了大筆錢財(cái)。

2020年，某位舉報(bào)人還曾向媒體舉報(bào)，沙特阿拉伯三大運(yùn)營商正利用全球移動通信運(yùn)營網(wǎng)絡(luò)SS7協(xié)議漏洞，對處在美國各地的沙特公民進(jìn)行電話追蹤定位，而且其此舉的頻率竟高達(dá)每小時2-13次。從獲取的數(shù)據(jù)來看，僅在過去4個月的時間里，就有數(shù)百萬沙特公民手機(jī)被追蹤。

同樣是在2020年，Positive Technologies公司的網(wǎng)絡(luò)安全專家們再次披露稱，一項(xiàng)全新的網(wǎng)絡(luò)攻擊活動正在利用SS7漏洞，通過該漏洞，攻擊者可冒充移動用戶并接收本應(yīng)發(fā)給他人的信息。在概念驗(yàn)證演示環(huán)節(jié)，攻擊者只需要一臺廉價(jià)的Linux筆記本和一套SDK就可以拿到至關(guān)重要的驗(yàn)證碼。

時至今日，SS7漏洞在很多地方依舊沒有被修復(fù)。在暗網(wǎng)上，SS7漏洞已經(jīng)成為一項(xiàng)服務(wù)，明碼標(biāo)價(jià)地售賣SS7黑客攻擊或漏洞利用服務(wù)。

更為危險(xiǎn)的是，有實(shí)際證據(jù)表明，SS7漏洞正在成為政治武器，在高度文明的今天被用于間諜活動。

2014年8月，華盛頓郵報(bào)發(fā)表了一篇文章，稱監(jiān)視系統(tǒng)制造商正向全球的政府和其它客戶提供SS7訪問權(quán)限，以追蹤任何攜帶手機(jī)者的行蹤。這遠(yuǎn)遠(yuǎn)超出了該信令系統(tǒng)最初被設(shè)計(jì)的意圖，并引起了大量的對實(shí)質(zhì)性隱私問題(Substantial Privacy)和商業(yè)間諜活動的擔(dān)憂。像美國國家安全局(National Security Agency，NSA)這樣情報(bào)機(jī)構(gòu)則完全擁有這種能力。

這個故事加深了人們的一種合理擔(dān)憂：流氓政府可以接入SS7，跟蹤政治異見者或針對競爭國家進(jìn)行間諜活動。

事實(shí)上，移動通訊一直都是政治交鋒間的必爭之地。早在2015年，美國獨(dú)立新聞網(wǎng)站The Intercept 曾披露了一份令人震驚的文檔，該文檔由斯諾登提供，文檔中詳細(xì)介紹了美國和英國的情報(bào)人員如何黑進(jìn)了著名SIM卡制造商Gemalto(金雅拓)并竊取了保護(hù)用戶通話信息的關(guān)鍵性密匙，以監(jiān)聽全球手機(jī)通訊，包括電話語音通訊以及數(shù)據(jù)的傳輸。

而這似乎也歸屬于美國臭名昭著的棱鏡計(jì)劃(PRISM);這是一項(xiàng)由美國國家安全局自2007年起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃。該計(jì)劃的正式名號為“US-984XN”。

棱鏡"監(jiān)控的主要有10類信息：電郵、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時間和社交網(wǎng)絡(luò)資料的細(xì)節(jié)都被政府監(jiān)控。通過棱鏡項(xiàng)目，國安局甚至可以實(shí)時監(jiān)控一個人正在進(jìn)行的網(wǎng)絡(luò)搜索內(nèi)容。棱鏡計(jì)劃也通過滲透，入侵各國基礎(chǔ)通訊設(shè)施，達(dá)到監(jiān)聽的目的，通過SS7信令等，2013年10月，德媒曝光NSA竊聽德國總理默克爾的手機(jī)。

因此，守護(hù)移動通訊安全，也必將成為守護(hù)國防安全的重要一環(huán)。

什么是SS7漏洞？

在介紹SS7漏洞之前，我們先要了解一下什么是SS7協(xié)議。

SS7全稱Signaling System 7，是一種廣泛應(yīng)用在公共交換電話網(wǎng)、蜂窩通信網(wǎng)絡(luò)等現(xiàn)代通信網(wǎng)絡(luò)的協(xié)議。

SS7采用的是公共信道信令技術(shù)，也就是帶外信令技術(shù)，即為信令服務(wù)提供獨(dú)立的分組交換網(wǎng)絡(luò)。北美以外SS7通常被稱為C7.SS7 最早是為電話呼叫控制應(yīng)用而設(shè)計(jì)的。自從它們被開發(fā)以來，SS7 應(yīng)用已經(jīng)有了巨大的擴(kuò)展。當(dāng)前SS7 的功能包含了數(shù)據(jù)庫查詢、事物處理、網(wǎng)絡(luò)操作和綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)(Integrated Services Digital Network,ISDN)等。

目前，世界許多電信運(yùn)營商(如AT&T和Verizon)都在使用該協(xié)議。SS7被用于設(shè)置漫游，以便能在所屬運(yùn)營商范圍之外也能撥打電話收發(fā)短信。域外運(yùn)營商會通過SS7向所屬運(yùn)營商發(fā)送獲取手機(jī)唯一ID的請求以便跟蹤手機(jī)，還會請求手機(jī)通信被重定向到它的網(wǎng)絡(luò)以便投遞呼叫和短信。

但是，SS7存在一個由來已久的弊端——任何能登入SS7網(wǎng)絡(luò)服務(wù)器或網(wǎng)關(guān)的人(包括全世界數(shù)百家電信公司在內(nèi))，都可以向電信公司發(fā)送位置漫游和重定向請求，電信公司多半會遵從請求。

這就使得攻擊者可以遠(yuǎn)程竊聽立法者、公司高管、軍方人員、激進(jìn)分子和其他人士。通過劫持你的短信和通話，攻擊者也就能夠獲取Gmail和其他服務(wù)通過短信發(fā)送的雙因子身份驗(yàn)證登錄碼。已經(jīng)知道用戶名和密碼的攻擊者就能在你收到之前攔截驗(yàn)證碼，登錄你的賬戶。

(SS7漏洞甚至可用于劫持Telegram加密對話)

而誰可以登入SS7呢？全世界數(shù)百家電信公司都可以。政府情報(bào)機(jī)構(gòu)也可以訪問這一網(wǎng)絡(luò)，無論電信公司允許與否。商業(yè)公司也可以將SS7電話追蹤服務(wù)售賣給政府和其他客戶。有能力收買電信員工的犯罪團(tuán)伙同樣可以使用SS7，攻破了有漏洞的SS7設(shè)備的黑客也行。

常見的SS7漏洞利用場景

1. 竊取短信驗(yàn)證碼

某知名安全研究團(tuán)隊(duì)表示，SS7漏洞最常被利用的場景之一就是攔截短信中的一次性雙因素認(rèn)證令牌(驗(yàn)證碼)。具體來說，攻擊者可在虛假的MSC(移動交換中心)上注冊受害者 MSISDN(移動號碼)，受害者運(yùn)營商的 HLR(歸屬位置寄存器)作為 MSISDN、運(yùn)營商和 SMS 服務(wù)中心的一種電話簿( SMSC) 將為受害者的 MSISDN 設(shè)置新位置。

當(dāng)受害者銀行向他們發(fā)送雙因素身份驗(yàn)證令牌時，MSC 將 SMS 傳輸?shù)?SMSC，真正的 MSMSC 向受害者運(yùn)營商的 HLR 詢問受害者的位置，HLR 回復(fù)攻擊者操作的 MSC。真實(shí)運(yùn)營商的 SMSC 將 SMS 傳輸?shù)焦舨僮鞯奶摷費(fèi)SC，因此攻擊者可以獲得受害者的驗(yàn)證碼，從而可以進(jìn)行轉(zhuǎn)賬等操作。

2. 竊聽或攔截通話

既然可以竊取短信驗(yàn)證碼，那么攻擊者自然也可以竊聽或攔截通話。攻擊者可以使用欺騙過程的第一部分將受害者來電重定向到VoIP提供商或他們自己的IP-PBX(例如 Asterisk)，并像處理任何VoIP來電一樣處理來電。

第一種做法就如同前文德國研究人員竊聽美國議員電話那樣，從德國向澳洲的運(yùn)營商發(fā)出了將某位政客語音信箱重配置成轉(zhuǎn)發(fā)給該研究人員的請求，就可以輕易完成攻擊。

第二種做法是濫用重寫撥出號碼功能。舉例說明一下，如果你正在國外，撥打手機(jī)聯(lián)系人中的號碼，重寫功能會識別出這是一個國際電話，并自動附帶上國別區(qū)號。

第三種做法是利用了手機(jī)不接電話或短信時通常不會和網(wǎng)絡(luò)通信的特性。此時攻擊者可以騙你的運(yùn)營商說你正在德國，任何發(fā)往你手機(jī)的通信都應(yīng)重定向到德國。

3. 時刻追蹤用戶的位置

有許多免費(fèi)或付費(fèi)的清晰網(wǎng)絡(luò)服務(wù)允許一些基本的 HLR 查找服務(wù)，這些服務(wù)都不需要提供移動用戶的確切位置，但是它們在一定程度上允許一部分人查看 MSISDN 是否正在漫游，分配給其歸屬運(yùn)營商，活動或停用。

攻擊者可以通過登錄SS7服務(wù)器獲取目標(biāo)手機(jī)中與漫游相關(guān)的所有信息。具體而言，利用上述SS7協(xié)議漏洞，登錄SS7服務(wù)器后，以核實(shí)漫游賬單為由，向電信公司發(fā)出了一個“提供用戶信息”(PSI)的請求，根據(jù)返回?cái)?shù)據(jù)，即可拿到監(jiān)控目標(biāo)地理位置等在內(nèi)的系列隱私信息。

出于精準(zhǔn)核實(shí)的功能需要，“提供用戶信息”(PSI)請求在對手機(jī)設(shè)備定位的精確度上可以在幾百米范圍內(nèi)。這也代表著，攻擊者拿到的定位信息也極為精準(zhǔn)?？梢哉f，通過SS7漏洞，實(shí)現(xiàn)大規(guī)模地理位置追蹤監(jiān)控絕對具有相當(dāng)高的可行性。

結(jié)語

那么，問題來了，一個不安全的SS7協(xié)議為何使用了如此之久？

有專家曾指出可以設(shè)置自動化的防火墻和過濾器來解決這一問題，但勢必對正常通信造成影響，因噎廢食自然是不可取。同時，想要改進(jìn)這一問題就需要對整套系統(tǒng)進(jìn)行修改，設(shè)置一系列的規(guī)則，無疑會加大企業(yè)的投入，且這份投入將會是持續(xù)性的，這也是很多企業(yè)沒有下定決心解決該問題的原因。

美國也曾推動SS7漏洞修復(fù)工作，但最終卻也未能如愿。在2016年，美國國家標(biāo)準(zhǔn)與技術(shù)局(NIST)同樣不再建議在雙因子身份驗(yàn)證中使用短信了，就是因?yàn)榭紤]到了利用SS7攻擊的可能。

畢竟，做好安全的最終目的是為了讓企業(yè)業(yè)務(wù)更好、更快的發(fā)展，而當(dāng)安全的負(fù)擔(dān)過于沉重時，視而不見或主動規(guī)避就會成為第二選擇。

就目前而言，想要在2/3/4G中解決SS7漏洞幾乎不可能，不過隨著5G技術(shù)的不斷發(fā)展和成熟，或可有辦法根治這一難題。