澳大利亞版電視節(jié)目《60分鐘時事》(60 Minutes)展示了黑客如何在數(shù)千公里外的德國竊聽并追蹤澳洲參議員。

存在于現(xiàn)代通訊技術(shù)中的一個大型安全漏洞使得全球數(shù)十億手機用戶的數(shù)據(jù)可能遭到秘密竊取，黑客可以竊聽電話并追蹤受害者地理位置。

手機信令系統(tǒng)System Signalling Number 7(SS7)存在漏洞，黑客、騙子、流氓政府和肆無忌憚的商業(yè)運營商得以使用數(shù)以百計的在線端口進行入侵。

“六十分鐘時事”記者羅斯·庫爾哈特(Ross Coulthart)在英國，澳大利亞參議員尼克·色諾芬(Nick Xenophon)在澳大利亞議會大廈，位于柏林的德國黑客可以攔截并錄下兩者間的通話。

SR Labs公司的黑客們在2008年首次發(fā)出針對該漏洞的警告。他們可以攔截并讀取色諾芬參議員從澳大利亞發(fā)送給位于倫敦的庫爾哈特的短信，還能追蹤到參議員的活動。比如參議員到日本進行公務旅行，從東京和成田市開始，到他回到位于澳大利亞南部的家，整個過程都能被追蹤。

呼吁公開調(diào)查

同意參加這次入侵演示的色諾芬呼吁立即全面公開調(diào)查SS7。

色諾芬對“六十分鐘時事”表示，“這真的非常令人震驚，因為它影響到了每個人。任何擁有手機的人都可以被入侵、被竊聽、被騷擾。這種情況的影響極其巨大，但我們發(fā)現(xiàn)更令人震驚的事情是：安全機構(gòu)、情報機構(gòu)，他們知道這個漏洞”。

[[146760]]

德國黑客可以竊聽《60分鐘時事》節(jié)目上的兩位演示者之間的通話

進行這次演示的德國黑客是SR Labs的盧卡·梅樂蒂(Luca Melette)，他補充說：“SS7并不安全，這讓我也十分震驚”。

另一位黑客托拜厄斯·恩格爾(Tobias Engel)首次警告了SS7存在的漏洞，他在2014年十二月的德國Chaos Computer Club大會上進行了過程展示。

手機信令系統(tǒng)的弱點

SS7是一種信令系統(tǒng)，它服務于電話公司之間，可以讓手機在國與國之間漫游通話。根據(jù)國際協(xié)議規(guī)定，所有電信運營商必須通過SS7系統(tǒng)將其客戶信息提供給另一家運營商。

對手機號碼發(fā)出SS7請求，會立刻得到該手機的唯一標識符(IMEI碼)，進一步則可獲取該手機使用者的名字和聯(lián)系方式。不管用戶是否開啟了手機漫游，不管他們使用什么樣的賬戶，這種方式都行得通。而最令人不安的是，它會顯示當前手機連接到的最近的信號塔。

只要別有用心的黑客能夠訪問SS7系統(tǒng)，通過該信息，他們實際上就可以將特定手機號碼的所有通話轉(zhuǎn)移到一臺在線錄音設備，然后在用戶不知不覺時使用中間人攻擊，將通話重定向到原本的被叫號碼上，監(jiān)聽任何手機通話。這種入侵方式還能將手機用戶的地理位置跟蹤信息在類似谷歌地圖這樣的應用中顯示出來。

SS7攻擊，“一個現(xiàn)實”

從歷史上看，只有大型電信運營商被允許訪問SS7，查詢用戶數(shù)據(jù)，但近年來，IP語音提供商(Voice Over IP)、小型電話公司和大量的第三方短信服務商都獲得了這種權(quán)限。目前也有人擔心一些具有SS7權(quán)限的運營商會將權(quán)限非法轉(zhuǎn)租給第三方。

代表全球手機用戶的協(xié)會：全球移動通信系統(tǒng)協(xié)會(Groupe Speciale Mobile ASSOciation，GSMA)列出了220個國家的800個成員，他們具有完全的權(quán)限來運營手機網(wǎng)絡，包括訪問如今存在巨大安全漏洞的SS7信令系統(tǒng)。

GSMA國家成員中包括很多貧窮不穩(wěn)定的戰(zhàn)亂國家的手機運營商，比如伊拉克、敘利亞和阿富汗，這些國家存在連年的叛亂。存在這樣一種可能性，奪取了當?shù)負碛蠸S7權(quán)限的電話公司的恐怖分子或罪犯利用它對電信系統(tǒng)造成破壞或進行犯罪。

“六十分鐘時事”了解到，法國的一家電信運營商最近發(fā)布了一份分析報告，文中揭示，近期來自非洲和中東的SS7請求呈爆發(fā)式增長，遠超這些地區(qū)內(nèi)存在漫游的手機號碼數(shù)量，這意味著有些SS7任意時間查詢(Any Time Interrogation，ATI)請求獲得的用戶信息和位置可能被用于非法目的，比如間諜行為和刑事詐騙。

“SS7攻擊是真實存在的”，最近的一次電信大會上出現(xiàn)了這樣的說法。

在售的監(jiān)視系統(tǒng)

2014年8月，華盛頓郵報發(fā)表了一篇文章，稱監(jiān)視系統(tǒng)制造商正向全球的政府和其它客戶提供SS7訪問權(quán)限，以追蹤任何攜帶手機者的行蹤。這遠遠超出了該信令系統(tǒng)最初被設計的意圖，并引起了大量的對實質(zhì)性隱私問題(Substantial Privacy)和商業(yè)間諜活動的擔憂。

當然，像美國國家安全局(National Security Agency，NSA)或澳大利亞信號局(Australian Signals Directorate，ASD)這樣屬于所謂五只眼情報聯(lián)盟的情報機構(gòu)擁有這種能力。但這個故事加深了人們的一種合理擔憂：流氓政府可以接入SS7，跟蹤政治異見者或針對競爭國家進行間諜活動。

運營商怎么說：

“六十分鐘時事”聯(lián)系了澳大利亞的主要電信公司澳電訊(Telstra)、沃達豐(Vodafone)和澳都斯(Optus)獲取評論。

澳電訊

澳電訊嚴肅對待客戶的安全和隱私，不斷檢測內(nèi)部網(wǎng)絡上的可疑活動。澳電訊偵測到惡意網(wǎng)絡活動后，會迅速采取行動，解決任何對客戶隱私的沖擊，并維護我們的網(wǎng)絡安全。

SS7是一個運營商之間使用的協(xié)議，它可以指導運營商之間的通話和短信。就像任何協(xié)議一樣，SS7容易受到復雜、資金充沛、帶有犯罪意圖的第三方攻擊。認識到了這一點，我們設置了網(wǎng)絡監(jiān)控，它的監(jiān)測范圍比針對SS7更加廣泛，一旦我們檢測到異?；蚩梢傻姆欠ɑ顒?，就會采取行動并適時向相關(guān)主管機構(gòu)上報。

一旦我們在經(jīng)常性的監(jiān)控中檢測到移動網(wǎng)絡存在可疑的非法活動，就會向澳大利亞聯(lián)邦警察上報，以供調(diào)查，這也是我們的一貫做法。非法訪問本公司網(wǎng)絡、攔截客戶電話屬于非法行為，已經(jīng)存在該領(lǐng)域內(nèi)的法案，禁止擁有這種設備，禁止非法攔截。

澳電訊不會隨意猜測外國情報機構(gòu)或國家安全機構(gòu)所謂的能力或動機。

澳都斯

澳都斯對待隱私問題的態(tài)度是嚴肅的，不過我們不評論安全事務的細節(jié)。作為一家國家級電信基礎(chǔ)設施運營商，澳都斯嚴肅對待承擔網(wǎng)絡及信息安全風險的責任。我們定期與執(zhí)法部門和國家安全機構(gòu)聯(lián)系，審查我們的系統(tǒng)以評估風險，并確保我們的安全流程和信息的完整性。

沃達豐

保護客戶的個人資料和信息是我們的首要任務。在沃達豐，我們已經(jīng)制定了相關(guān)的安全措施，以保護客戶不受非法通訊或非法數(shù)據(jù)訪問侵害。

我們不斷復查并升級我們的系統(tǒng)和流程，使用全球最佳的方法，杜絕任何非法訪問。沃達豐能夠充分意識到保護客戶通訊數(shù)據(jù)的法律責任，并遵守這些義務。

我們不知道任何使用SS7信令非法獲取沃達豐客戶通話及其它信息的情況。

唯一一家提供SS7的商業(yè)使用，以進行定位跟蹤的公司是慧銳(Verint)，它位于紐約，在全球各地設有辦公室，包括澳大利亞。“六十分鐘時事”獲得了一份慧銳產(chǎn)品的機密手冊，該產(chǎn)品名為SkyLock，是一種蜂窩網(wǎng)絡跟蹤系統(tǒng)，其副標題的標語是：“定位、跟蹤、操縱”。

慧銳在其營銷材料中承諾，不會針對美國或以色列的手機用戶使用SkyLock，但其市場宣傳并不排除它會向客戶提供澳大利亞手機用戶數(shù)據(jù)的可能性。

如果其客戶擁有使用SS7的ATI請求能力的權(quán)限，就再也無法阻止他們使用SS7查詢并跟蹤全世界任何地方的手機了。

澳大利亞聯(lián)政府采購記錄顯示，2005至2012年期間，慧銳的澳大利亞辦公室向澳大利亞犯罪委員會提供了價值79萬5000美元的軟件、計算機服務和軟件維護與支持。

“六十分鐘時事”詢問慧銳是否向澳大利亞的客戶銷售過SkyLock，以及是否部署了保護措施，防止SkyLock用戶將其濫用于公司商業(yè)間諜和詐騙等非法目的。

NSA使用SS7的證據(jù)

安全產(chǎn)業(yè)界里一直存在這樣的推測：英國、美國、澳大利亞這樣的國家之所以沒有盡快修補SS7的漏洞，是因為這些國家的情報機構(gòu)正在使用它來進行位置跟蹤和電話竊聽等間諜行為。

2013年十二月，澳大利亞某報紙詳細介紹了NSA泄密者愛德華·斯諾登(Edward Snowden)在2009年泄露的美國外交電文，當時的澳大利亞國防信號局(現(xiàn)澳大利亞信號局)跟蹤了克里斯蒂安尼·海拉瓦蒂(Kristiani Herawati)的手機，她是印度尼西亞時任總統(tǒng)蘇西洛·班邦·尤多約諾(Susilo Bambang Yudhuyono)的夫人。

該竊聽行為的原理從未被揭示過，但看上去，SS7有可能是最佳解釋。對信令系統(tǒng)發(fā)出簡單的查詢就將得到印尼第一夫人唯一的IMEI號碼，然后可以啟用跟蹤并將電話轉(zhuǎn)接到錄音設備。

罪犯廣泛使用偽基站

“六十分鐘時事”報道過如何使用GSMK Cryptophone探測國際用戶識別碼(International Mobile Subscriber Identity，IMSI)抓取器，又名偽基站。結(jié)果表明，澳大利亞存在這樣的偽基站。CryptoPhone帶有一個基帶防火墻，它能夠檢測到偽基站強迫手機連接進行連接的意圖，還會對IMSI抓取器試圖強迫3G或4G加密降級到2G的行為發(fā)出警報。2G是一種弱加密級別，很容易被破解。

在過去的幾個月里，“六十分鐘時事”記者羅斯·庫爾哈特在圍繞悉尼市中心的行動中檢測到了可疑的IMSI抓取器，包括在大橋街(Bridge Street)上的澳大利亞證券交易所大樓外。每一次偽基站試圖強迫手機使用未加密連接與其通信，都會導致很多普通手機上的數(shù)據(jù)遭到泄露。

德國黑客盧卡·梅樂蒂進行了入侵演示

他在悉尼東郊某地點檢測到了多個偽基站，并在CryptoPhone發(fā)出警報時進行了實時錄像。盡管確實存在一定的可能性，即這些IMSI檢測記錄都屬于正常的執(zhí)法行動，美國的經(jīng)驗則表明至少有一些偽基站是被罪犯和企業(yè)間諜以進行欺詐和間諜行動為目的非法使用的。

ESD America是一家位于拉斯維加斯的公司，它銷售Cyptophone，致力于研發(fā)反監(jiān)視技術(shù)。該公司首席執(zhí)行官萊斯·戈德史密斯(Les Goldsmith)對媒體表示，他的公司已經(jīng)在美國檢測到了68個IMSI抓取器，包括在敏感政府聽證會和軍事設施附近。

他表示IMSI抓取器正被罪犯廣為使用，因為“罪犯手中的IMSI抓取器意味著他們能夠針對某個特定建筑，監(jiān)聽其電話并記錄下所有信息，等待某人在給打給銀行的電話中泄露自己的密碼，比如在進行重要的私人交易時。”

檢測偽基站的技術(shù)突破

ESD和德國公司GSMK合作開發(fā)了一項名為Overwatch的技術(shù)，這是首項能夠?qū)崟r檢測偽基站，將它們和真實信號塔區(qū)別開的技術(shù)。GSMK總監(jiān)比約恩·拉普(Bjoern Rupp )在鏡頭前首次演示了Overwatch技術(shù)，展示了如何使用城市內(nèi)的傳感器對偽基站進行三角定位，并在地圖上標出。

Overwatch的目標是給政府和運營商提供前所未有的警報系統(tǒng)，在發(fā)現(xiàn)非法IMSI抓取器時進行報警，并找到其位置。

該技術(shù)突破可能會影響過去幾十年內(nèi)情報機構(gòu)使用的最強大工具之一。GSMK和ESD也開發(fā)了另一個產(chǎn)品Oversight，它會檢測可疑的SS7活動。

歐洲的一些運營商已經(jīng)配備了Oversight技術(shù)，報告顯示，他們已經(jīng)注意到了使用SS7的可疑活動，之后就可以阻止它們。

Oversight和Overwatch這兩項技術(shù)突破的潛在影響是巨大的：不論是政府還是流氓犯罪分子，濫用SS7和IMSI抓取器的好日子可能要到頭了。不過目前，SS7存在的巨大安全漏洞還沒有得到修補。

供銷售的SS7黑客服務

一個有趣的復雜案例。意大利的數(shù)字軍火商Hacking Team在2015年七月遭受了一次重大電子郵件泄露事故。事件中泄露的電子郵件中表明了該公司對于利用數(shù)據(jù)泄露的理解。“這是公然侵犯隱私!”Hacking Team首席執(zhí)行官戴維·文森澤蒂(David Vincenzetti)抱怨道，“他們怎么收集到這些信息的?”

他的技術(shù)專家返回的答案是：匿名的入侵者很有可能通過意大利電信公司(Telecom Italia)內(nèi)部人士，使用SS7訪問了他們的數(shù)據(jù)。

泄露的電子郵件還顯示，Hacking Team之前接觸過一家名為CleverSig的公司，后者聲稱可通過一家運營商實現(xiàn)SS7追蹤，價格為每月1萬4000到1萬6000美元。

這表明，就像很多安全運營商開始擔心的那樣，SS7信令系統(tǒng)的監(jiān)視能力現(xiàn)在已經(jīng)被肆無忌憚的商業(yè)運營商所利用，謀取利潤。

媒體聯(lián)系了位于以色列的CleverSig公司的創(chuàng)始人埃坦.克倫(Eitan Keren)評論這次電子郵件泄露事件。對方表示，“并不是所有你看到的那些數(shù)據(jù)都是有效的。謹慎閱讀你拿到的數(shù)據(jù)。”然后他繼續(xù)否認曾參與過SS7追蹤。同樣的問題也被拋給了慧銳公司，該公司是SkyLock監(jiān)視技術(shù)的制造商。對方?jīng)]有回應。