澳大利亞版電視節(jié)目《60分鐘時(shí)事》(60 Minutes)展示了黑客如何在數(shù)千公里外的德國(guó)竊聽(tīng)并追蹤澳洲參議員

存在于現(xiàn)代通訊技術(shù)中的一個(gè)大型安全漏洞使得全球數(shù)十億手機(jī)用戶(hù)的數(shù)據(jù)可能遭到秘密竊取，黑客可以竊聽(tīng)電話并追蹤受害者地理位置。

手機(jī)信令系統(tǒng)System Signalling Number 7(SS7)存在漏洞，黑客、騙子、流氓政府和肆無(wú)忌憚的商業(yè)運(yùn)營(yíng)商得以使用數(shù)以百計(jì)的在線端口進(jìn)行入侵。

“六十分鐘時(shí)事”記者羅斯·庫(kù)爾哈特(Ross Coulthart)在英國(guó)，澳大利亞參議員尼克·色諾芬(Nick Xenophon)在澳大利亞議會(huì)大廈，位于柏林的德國(guó)黑客可以攔截并錄下兩者間的通話。

SR Labs公司的黑客們?cè)?008年首次發(fā)出針對(duì)該漏洞的警告。他們可以攔截并讀取色諾芬參議員從澳大利亞發(fā)送給位于倫敦的庫(kù)爾哈特的短信，還能追蹤到參議員的活動(dòng)。比如參議員到日本進(jìn)行公務(wù)旅行，從東京和成田市開(kāi)始，到他回到位于澳大利亞南部的家，整個(gè)過(guò)程都能被追蹤。

呼吁公開(kāi)調(diào)查

同意參加這次入侵演示的色諾芬呼吁立即全面公開(kāi)調(diào)查SS7。

色諾芬對(duì)“六十分鐘時(shí)事”表示，“這真的非常令人震驚，因?yàn)樗绊懙搅嗣總€(gè)人。任何擁有手機(jī)的人都可以被入侵、被竊聽(tīng)、被騷擾。這種情況的影響極其巨大，但我們發(fā)現(xiàn)更令人震驚的事情是：安全機(jī)構(gòu)、情報(bào)機(jī)構(gòu)，他們知道這個(gè)漏洞”。

德國(guó)黑客可以竊聽(tīng)《60分鐘時(shí)事》節(jié)目上的兩位演示者之間的通話

進(jìn)行這次演示的德國(guó)黑客是SR Labs的盧卡·梅樂(lè)蒂(Luca Melette)，他補(bǔ)充說(shuō)：“SS7并不安全，這讓我也十分震驚”。

另一位黑客托拜厄斯·恩格爾(Tobias Engel)首次警告了SS7存在的漏洞，他在2014年十二月的德國(guó)Chaos Computer Club大會(huì)上進(jìn)行了過(guò)程展示。

手機(jī)信令系統(tǒng)的弱點(diǎn)

SS7是一種信令系統(tǒng)，它服務(wù)于電話公司之間，可以讓手機(jī)在國(guó)與國(guó)之間漫游通話。根據(jù)國(guó)際協(xié)議規(guī)定，所有電信運(yùn)營(yíng)商必須通過(guò)SS7系統(tǒng)將其客戶(hù)信息提供給另一家運(yùn)營(yíng)商。

對(duì)手機(jī)號(hào)碼發(fā)出SS7請(qǐng)求，會(huì)立刻得到該手機(jī)的唯一標(biāo)識(shí)符(IMEI碼)，進(jìn)一步則可獲取該手機(jī)使用者的名字和聯(lián)系方式。不管用戶(hù)是否開(kāi)啟了手機(jī)漫游，不管他們使用什么樣的賬戶(hù)，這種方式都行得通。而最令人不安的是，它會(huì)顯示當(dāng)前手機(jī)連接到的最近的信號(hào)塔。

只要?jiǎng)e有用心的黑客能夠訪問(wèn)SS7系統(tǒng)，通過(guò)該信息，他們實(shí)際上就可以將特定手機(jī)號(hào)碼的所有通話轉(zhuǎn)移到一臺(tái)在線錄音設(shè)備，然后在用戶(hù)不知不覺(jué)時(shí)使用中間人攻擊，將通話重定向到原本的被叫號(hào)碼上，監(jiān)聽(tīng)任何手機(jī)通話。這種入侵方式還能將手機(jī)用戶(hù)的地理位置跟蹤信息在類(lèi)似谷歌地圖這樣的應(yīng)用中顯示出來(lái)。

SS7攻擊，“一個(gè)現(xiàn)實(shí)”

從歷史上看，只有大型電信運(yùn)營(yíng)商被允許訪問(wèn)SS7，查詢(xún)用戶(hù)數(shù)據(jù)，但近年來(lái)，IP語(yǔ)音提供商(Voice Over IP)、小型電話公司和大量的第三方短信服務(wù)商都獲得了這種權(quán)限。目前也有人擔(dān)心一些具有SS7權(quán)限的運(yùn)營(yíng)商會(huì)將權(quán)限非法轉(zhuǎn)租給第三方。

代表全球手機(jī)用戶(hù)的協(xié)會(huì)：全球移動(dòng)通信系統(tǒng)協(xié)會(huì)(Groupe Speciale Mobile ASSOciation，GSMA)列出了220個(gè)國(guó)家的800個(gè)成員，他們具有完全的權(quán)限來(lái)運(yùn)營(yíng)手機(jī)網(wǎng)絡(luò)，包括訪問(wèn)如今存在巨大安全漏洞的SS7信令系統(tǒng)。

GSMA國(guó)家成員中包括很多貧窮不穩(wěn)定的戰(zhàn)亂國(guó)家的手機(jī)運(yùn)營(yíng)商，比如伊拉克、敘利亞和阿富汗，這些國(guó)家存在連年的叛亂。存在這樣一種可能性，奪取了當(dāng)?shù)負(fù)碛蠸S7權(quán)限的電話公司的恐怖分子或罪犯利用它對(duì)電信系統(tǒng)造成破壞或進(jìn)行犯罪。

“六十分鐘時(shí)事”了解到，法國(guó)的一家電信運(yùn)營(yíng)商最近發(fā)布了一份分析報(bào)告，文中揭示，近期來(lái)自非洲和中東的SS7請(qǐng)求呈爆發(fā)式增長(zhǎng)，遠(yuǎn)超這些地區(qū)內(nèi)存在漫游的手機(jī)號(hào)碼數(shù)量，這意味著有些SS7任意時(shí)間查詢(xún)(Any Time Interrogation，ATI)請(qǐng)求獲得的用戶(hù)信息和位置可能被用于非法目的，比如間諜行為和刑事詐騙。

“SS7攻擊是真實(shí)存在的”，最近的一次電信大會(huì)上出現(xiàn)了這樣的說(shuō)法。

在售的監(jiān)視系統(tǒng)

2014年8月，華盛頓郵報(bào)發(fā)表了一篇文章，稱(chēng)監(jiān)視系統(tǒng)制造商正向全球的政府和其它客戶(hù)提供SS7訪問(wèn)權(quán)限，以追蹤任何攜帶手機(jī)者的行蹤。這遠(yuǎn)遠(yuǎn)超出了該信令系統(tǒng)最初被設(shè)計(jì)的意圖，并引起了大量的對(duì)實(shí)質(zhì)性隱私問(wèn)題(Substantial Privacy)和商業(yè)間諜活動(dòng)的擔(dān)憂。

當(dāng)然，像美國(guó)國(guó)家安全局(National Security Agency，NSA)或澳大利亞信號(hào)局(Australian Signals Directorate，ASD)這樣屬于所謂五只眼情報(bào)聯(lián)盟的情報(bào)機(jī)構(gòu)擁有這種能力。但這個(gè)故事加深了人們的一種合理?yè)?dān)憂：流氓政府可以接入SS7，跟蹤政治異見(jiàn)者或針對(duì)競(jìng)爭(zhēng)國(guó)家進(jìn)行間諜活動(dòng)。

運(yùn)營(yíng)商怎么說(shuō)：

“六十分鐘時(shí)事”聯(lián)系了澳大利亞的主要電信公司澳電訊(Telstra)、沃達(dá)豐(Vodafone)和澳都斯(Optus)獲取評(píng)論。

澳電訊

澳電訊嚴(yán)肅對(duì)待客戶(hù)的安全和隱私，不斷檢測(cè)內(nèi)部網(wǎng)絡(luò)上的可疑活動(dòng)。澳電訊偵測(cè)到惡意網(wǎng)絡(luò)活動(dòng)后，會(huì)迅速采取行動(dòng)，解決任何對(duì)客戶(hù)隱私的沖擊，并維護(hù)我們的網(wǎng)絡(luò)安全。

SS7是一個(gè)運(yùn)營(yíng)商之間使用的協(xié)議，它可以指導(dǎo)運(yùn)營(yíng)商之間的通話和短信。就像任何協(xié)議一樣，SS7容易受到復(fù)雜、資金充沛、帶有犯罪意圖的第三方攻擊。認(rèn)識(shí)到了這一點(diǎn)，我們?cè)O(shè)置了網(wǎng)絡(luò)監(jiān)控，它的監(jiān)測(cè)范圍比針對(duì)SS7更加廣泛，一旦我們檢測(cè)到異?；蚩梢傻姆欠ɑ顒?dòng)，就會(huì)采取行動(dòng)并適時(shí)向相關(guān)主管機(jī)構(gòu)上報(bào)。

一旦我們?cè)诮?jīng)常性的監(jiān)控中檢測(cè)到移動(dòng)網(wǎng)絡(luò)存在可疑的非法活動(dòng)，就會(huì)向澳大利亞聯(lián)邦警察上報(bào)，以供調(diào)查，這也是我們的一貫做法。非法訪問(wèn)本公司網(wǎng)絡(luò)、攔截客戶(hù)電話屬于非法行為，已經(jīng)存在該領(lǐng)域內(nèi)的法案，禁止擁有這種設(shè)備，禁止非法攔截。

澳電訊不會(huì)隨意猜測(cè)外國(guó)情報(bào)機(jī)構(gòu)或國(guó)家安全機(jī)構(gòu)所謂的能力或動(dòng)機(jī)。

澳都斯

澳都斯對(duì)待隱私問(wèn)題的態(tài)度是嚴(yán)肅的，不過(guò)我們不評(píng)論安全事務(wù)的細(xì)節(jié)。作為一家國(guó)家級(jí)電信基礎(chǔ)設(shè)施運(yùn)營(yíng)商，澳都斯嚴(yán)肅對(duì)待承擔(dān)網(wǎng)絡(luò)及信息安全風(fēng)險(xiǎn)的責(zé)任。我們定期與執(zhí)法部門(mén)和國(guó)家安全機(jī)構(gòu)聯(lián)系，審查我們的系統(tǒng)以評(píng)估風(fēng)險(xiǎn)，并確保我們的安全流程和信息的完整性。

沃達(dá)豐

保護(hù)客戶(hù)的個(gè)人資料和信息是我們的首要任務(wù)。在沃達(dá)豐，我們已經(jīng)制定了相關(guān)的安全措施，以保護(hù)客戶(hù)不受非法通訊或非法數(shù)據(jù)訪問(wèn)侵害。

我們不斷復(fù)查并升級(jí)我們的系統(tǒng)和流程，使用全球最佳的方法，杜絕任何非法訪問(wèn)。沃達(dá)豐能夠充分意識(shí)到保護(hù)客戶(hù)通訊數(shù)據(jù)的法律責(zé)任，并遵守這些義務(wù)。

我們不知道任何使用SS7信令非法獲取沃達(dá)豐客戶(hù)通話及其它信息的情況。

唯一一家提供SS7的商業(yè)使用，以進(jìn)行定位跟蹤的公司是慧銳(Verint)，它位于紐約，在全球各地設(shè)有辦公室，包括澳大利亞。“六十分鐘時(shí)事”獲得了一份慧銳產(chǎn)品的機(jī)密手冊(cè)，該產(chǎn)品名為SkyLock，是一種蜂窩網(wǎng)絡(luò)跟蹤系統(tǒng)，其副標(biāo)題的標(biāo)語(yǔ)是：“定位、跟蹤、操縱”。

慧銳在其營(yíng)銷(xiāo)材料中承諾，不會(huì)針對(duì)美國(guó)或以色列的手機(jī)用戶(hù)使用SkyLock，但其市場(chǎng)宣傳并不排除它會(huì)向客戶(hù)提供澳大利亞手機(jī)用戶(hù)數(shù)據(jù)的可能性。

如果其客戶(hù)擁有使用SS7的ATI請(qǐng)求能力的權(quán)限，就再也無(wú)法阻止他們使用SS7查詢(xún)并跟蹤全世界任何地方的手機(jī)了。

澳大利亞聯(lián)政府采購(gòu)記錄顯示，2005至2012年期間，慧銳的澳大利亞辦公室向澳大利亞犯罪委員會(huì)提供了價(jià)值79萬(wàn)5000美元的軟件、計(jì)算機(jī)服務(wù)和軟件維護(hù)與支持。

“六十分鐘時(shí)事”詢(xún)問(wèn)慧銳是否向澳大利亞的客戶(hù)銷(xiāo)售過(guò)SkyLock，以及是否部署了保護(hù)措施，防止SkyLock用戶(hù)將其濫用于公司商業(yè)間諜和詐騙等非法目的。

NSA使用SS7的證據(jù)

安全產(chǎn)業(yè)界里一直存在這樣的推測(cè)：英國(guó)、美國(guó)、澳大利亞這樣的國(guó)家之所以沒(méi)有盡快修補(bǔ)SS7的漏洞，是因?yàn)檫@些國(guó)家的情報(bào)機(jī)構(gòu)正在使用它來(lái)進(jìn)行位置跟蹤和電話竊聽(tīng)等間諜行為。

2013年十二月，澳大利亞某報(bào)紙?jiān)敿?xì)介紹了NSA泄密者愛(ài)德華·斯諾登(Edward Snowden)在2009年泄露的美國(guó)外交電文，當(dāng)時(shí)的澳大利亞國(guó)防信號(hào)局(現(xiàn)澳大利亞信號(hào)局)跟蹤了克里斯蒂安尼·海拉瓦蒂(Kristiani Herawati)的手機(jī)，她是印度尼西亞時(shí)任總統(tǒng)蘇西洛·班邦·尤多約諾(Susilo Bambang Yudhuyono)的夫人。

該竊聽(tīng)行為的原理從未被揭示過(guò)，但看上去，SS7有可能是最佳解釋。對(duì)信令系統(tǒng)發(fā)出簡(jiǎn)單的查詢(xún)就將得到印尼第一夫人唯一的IMEI號(hào)碼，然后可以啟用跟蹤并將電話轉(zhuǎn)接到錄音設(shè)備。

罪犯廣泛使用偽基站

“六十分鐘時(shí)事”報(bào)道過(guò)如何使用GSMK Cryptophone探測(cè)國(guó)際用戶(hù)識(shí)別碼(International Mobile Subscriber Identity，IMSI)抓取器，又名偽基站。結(jié)果表明，澳大利亞存在這樣的偽基站。CryptoPhone帶有一個(gè)基帶防火墻，它能夠檢測(cè)到偽基站強(qiáng)迫手機(jī)連接進(jìn)行連接的意圖，還會(huì)對(duì)IMSI抓取器試圖強(qiáng)迫3G或4G加密降級(jí)到2G的行為發(fā)出警報(bào)。2G是一種弱加密級(jí)別，很容易被破解。

在過(guò)去的幾個(gè)月里，“六十分鐘時(shí)事”記者羅斯·庫(kù)爾哈特在圍繞悉尼市中心的行動(dòng)中檢測(cè)到了可疑的IMSI抓取器，包括在大橋街(Bridge Street)上的澳大利亞證券交易所大樓外。每一次偽基站試圖強(qiáng)迫手機(jī)使用未加密連接與其通信，都會(huì)導(dǎo)致很多普通手機(jī)上的數(shù)據(jù)遭到泄露。

德國(guó)黑客盧卡·梅樂(lè)蒂進(jìn)行了入侵演示

他在悉尼東郊某地點(diǎn)檢測(cè)到了多個(gè)偽基站，并在CryptoPhone發(fā)出警報(bào)時(shí)進(jìn)行了實(shí)時(shí)錄像。盡管確實(shí)存在一定的可能性，即這些IMSI檢測(cè)記錄都屬于正常的執(zhí)法行動(dòng)，美國(guó)的經(jīng)驗(yàn)則表明至少有一些偽基站是被罪犯和企業(yè)間諜以進(jìn)行欺詐和間諜行動(dòng)為目的非法使用的。

ESD America是一家位于拉斯維加斯的公司，它銷(xiāo)售Cyptophone，致力于研發(fā)反監(jiān)視技術(shù)。該公司首席執(zhí)行官萊斯·戈德史密斯(Les Goldsmith)對(duì)媒體表示，他的公司已經(jīng)在美國(guó)檢測(cè)到了68個(gè)IMSI抓取器，包括在敏感政府聽(tīng)證會(huì)和軍事設(shè)施附近。

他表示IMSI抓取器正被罪犯廣為使用，因?yàn)?ldquo;罪犯手中的IMSI抓取器意味著他們能夠針對(duì)某個(gè)特定建筑，監(jiān)聽(tīng)其電話并記錄下所有信息，等待某人在給打給銀行的電話中泄露自己的密碼，比如在進(jìn)行重要的私人交易時(shí)。”

檢測(cè)偽基站的技術(shù)突破

ESD和德國(guó)公司GSMK合作開(kāi)發(fā)了一項(xiàng)名為Overwatch的技術(shù)，這是首項(xiàng)能夠?qū)崟r(shí)檢測(cè)偽基站，將它們和真實(shí)信號(hào)塔區(qū)別開(kāi)的技術(shù)。GSMK總監(jiān)比約恩·拉普(Bjoern Rupp )在鏡頭前首次演示了Overwatch技術(shù)，展示了如何使用城市內(nèi)的傳感器對(duì)偽基站進(jìn)行三角定位，并在地圖上標(biāo)出。

Overwatch的目標(biāo)是給政府和運(yùn)營(yíng)商提供前所未有的警報(bào)系統(tǒng)，在發(fā)現(xiàn)非法IMSI抓取器時(shí)進(jìn)行報(bào)警，并找到其位置。

該技術(shù)突破可能會(huì)影響過(guò)去幾十年內(nèi)情報(bào)機(jī)構(gòu)使用的最強(qiáng)大工具之一。GSMK和ESD也開(kāi)發(fā)了另一個(gè)產(chǎn)品Oversight，它會(huì)檢測(cè)可疑的SS7活動(dòng)。

歐洲的一些運(yùn)營(yíng)商已經(jīng)配備了Oversight技術(shù)，報(bào)告顯示，他們已經(jīng)注意到了使用SS7的可疑活動(dòng)，之后就可以阻止它們。

Oversight和Overwatch這兩項(xiàng)技術(shù)突破的潛在影響是巨大的：不論是政府還是流氓犯罪分子，濫用SS7和IMSI抓取器的好日子可能要到頭了。不過(guò)目前，SS7存在的巨大安全漏洞還沒(méi)有得到修補(bǔ)。

供銷(xiāo)售的SS7黑客服務(wù)

一個(gè)有趣的復(fù)雜案例。意大利的數(shù)字軍火商Hacking Team在2015年七月遭受了一次重大電子郵件泄露事故。事件中泄露的電子郵件中表明了該公司對(duì)于利用數(shù)據(jù)泄露的理解。“這是公然侵犯隱私!”Hacking Team首席執(zhí)行官戴維·文森澤蒂(David Vincenzetti)抱怨道，“他們?cè)趺词占竭@些信息的?”

他的技術(shù)專(zhuān)家返回的答案是：匿名的入侵者很有可能通過(guò)意大利電信公司(Telecom Italia)內(nèi)部人士，使用SS7訪問(wèn)了他們的數(shù)據(jù)。

泄露的電子郵件還顯示，Hacking Team之前接觸過(guò)一家名為CleverSig的公司，后者聲稱(chēng)可通過(guò)一家運(yùn)營(yíng)商實(shí)現(xiàn)SS7追蹤，價(jià)格為每月1萬(wàn)4000到1萬(wàn)6000美元。

這表明，就像很多安全運(yùn)營(yíng)商開(kāi)始擔(dān)心的那樣，SS7信令系統(tǒng)的監(jiān)視能力現(xiàn)在已經(jīng)被肆無(wú)忌憚的商業(yè)運(yùn)營(yíng)商所利用，謀取利潤(rùn)。

媒體聯(lián)系了位于以色列的CleverSig公司的創(chuàng)始人埃坦.克倫(Eitan Keren)評(píng)論這次電子郵件泄露事件。對(duì)方表示，“并不是所有你看到的那些數(shù)據(jù)都是有效的。謹(jǐn)慎閱讀你拿到的數(shù)據(jù)。”然后他繼續(xù)否認(rèn)曾參與過(guò)SS7追蹤。同樣的問(wèn)題也被拋給了慧銳公司，該公司是SkyLock監(jiān)視技術(shù)的制造商。對(duì)方?jīng)]有回應(yīng)。