本文讲的是 利用SS7漏洞可追踪全球数十亿部手机 黑客千里之外窃听澳洲议员,澳大利亚版电视节目《60分钟时事》(60 Minutes)展示了黑客如何在数千公里外的德国窃听并追踪澳洲参议员
存在于现代通讯技术中的一个大型安全漏洞使得全球数十亿手机用户的数据可能遭到秘密窃取,黑客可以窃听电话并追踪受害者地理位置。
手机信令系统System Signalling Number 7(SS7)存在漏洞,黑客、骗子、流氓政府和肆无忌惮的商业运营商得以使用数以百计的在线端口进行入侵。
“六十分钟时事”记者罗斯·库尔哈特(Ross Coulthart)在英国,澳大利亚参议员尼克·色诺芬(Nick Xenophon)在澳大利亚议会大厦,位于柏林的德国黑客可以拦截并录下两者间的通话。
SR Labs公司的黑客们在2008年首次发出针对该漏洞的警告。他们可以拦截并读取色诺芬参议员从澳大利亚发送给位于伦敦的库尔哈特的短信,还能追踪到参议员的活动。比如参议员到日本进行公务旅行,从东京和成田市开始,到他回到位于澳大利亚南部的家,整个过程都能被追踪。
呼吁公开调查
同意参加这次入侵演示的色诺芬呼吁立即全面公开调查SS7。
色诺芬对“六十分钟时事”表示,“这真的非常令人震惊,因为它影响到了每个人。任何拥有手机的人都可以被入侵、被窃听、被骚扰。这种情况的影响极其巨大,但我们发现更令人震惊的事情是:安全机构、情报机构,他们知道这个漏洞”。
进行这次演示的德国黑客是SR Labs的卢卡·梅乐蒂(Luca Melette),他补充说:“SS7并不安全,这让我也十分震惊”。
另一位黑客托拜厄斯·恩格尔(Tobias Engel)首次警告了SS7存在的漏洞,他在2014年十二月的德国Chaos Computer Club大会上进行了过程展示。
手机信令系统的弱点
SS7是一种信令系统,它服务于电话公司之间,可以让手机在国与国之间漫游通话。根据国际协议规定,所有电信运营商必须通过SS7系统将其客户信息提供给另一家运营商。
对手机号码发出SS7请求,会立刻得到该手机的唯一标识符(IMEI码),进一步则可获取该手机使用者的名字和联系方式。不管用户是否开启了手机漫游,不管他们使用什么样的账户,这种方式都行得通。而最令人不安的是,它会显示当前手机连接到的最近的信号塔。
只要别有用心的黑客能够访问SS7系统,通过该信息,他们实际上就可以将特定手机号码的所有通话转移到一台在线录音设备,然后在用户不知不觉时使用中间人攻击,将通话重定向到原本的被叫号码上,监听任何手机通话。这种入侵方式还能将手机用户的地理位置跟踪信息在类似谷歌地图这样的应用中显示出来。
SS7攻击,“一个现实”
从历史上看,只有大型电信运营商被允许访问SS7,查询用户数据,但近年来,IP语音提供商(Voice Over IP)、小型电话公司和大量的第三方短信服务商都获得了这种权限。目前也有人担心一些具有SS7权限的运营商会将权限非法转租给第三方。
代表全球手机用户的协会:全球移动通信系统协会(Groupe Speciale Mobile Association,GSMA)列出了220个国家的800个成员,他们具有完全的权限来运营手机网络,包括访问如今存在巨大安全漏洞的SS7信令系统。
GSMA国家成员中包括很多贫穷不稳定的战乱国家的手机运营商,比如伊拉克、叙利亚和阿富汗,这些国家存在连年的叛乱。存在这样一种可能性,夺取了当地拥有SS7权限的电话公司的恐怖分子或罪犯利用它对电信系统造成破坏或进行犯罪。
“六十分钟时事”了解到,法国的一家电信运营商最近发布了一份分析报告,文中揭示,近期来自非洲和中东的SS7请求呈爆发式增长,远超这些地区内存在漫游的手机号码数量,这意味着有些SS7任意时间查询(Any Time Interrogation,ATI)请求获得的用户信息和位置可能被用于非法目的,比如间谍行为和刑事诈骗。
“SS7攻击是真实存在的”,最近的一次电信大会上出现了这样的说法。
在售的监视系统
2014年8月,华盛顿邮报发表了一篇文章,称监视系统制造商正向全球的政府和其它客户提供SS7访问权限,以追踪任何携带手机者的行踪。这远远超出了该信令系统最初被设计的意图,并引起了大量的对实质性隐私问题(Substantial Privacy)和商业间谍活动的担忧。
当然,像美国国家安全局(National Security Agency,NSA)或澳大利亚信号局(Australian Signals Directorate,ASD)这样属于所谓五只眼情报联盟的情报机构拥有这种能力。但这个故事加深了人们的一种合理担忧:流氓政府可以接入SS7,跟踪政治异见者或针对竞争国家进行间谍活动。
运营商怎么说:
“六十分钟时事”联系了澳大利亚的主要电信公司澳电讯(Telstra)、沃达丰(Vodafone)和澳都斯(Optus)获取评论。
澳电讯
澳电讯严肃对待客户的安全和隐私,不断检测内部网络上的可疑活动。澳电讯侦测到恶意网络活动后,会迅速采取行动,解决任何对客户隐私的冲击,并维护我们的网络安全。
SS7是一个运营商之间使用的协议,它可以指导运营商之间的通话和短信。就像任何协议一样,SS7容易受到复杂、资金充沛、带有犯罪意图的第三方攻击。认识到了这一点,我们设置了网络监控,它的监测范围比针对SS7更加广泛,一旦我们检测到异常或可疑的非法活动,就会采取行动并适时向相关主管机构上报。
一旦我们在经常性的监控中检测到移动网络存在可疑的非法活动,就会向澳大利亚联邦警察上报,以供调查,这也是我们的一贯做法。非法访问本公司网络、拦截客户电话属于非法行为,已经存在该领域内的法案,禁止拥有这种设备,禁止非法拦截。
澳电讯不会随意猜测外国情报机构或国家安全机构所谓的能力或动机。
澳都斯
澳都斯对待隐私问题的态度是严肃的,不过我们不评论安全事务的细节。作为一家国家级电信基础设施运营商,澳都斯严肃对待承担网络及信息安全风险的责任。我们定期与执法部门和国家安全机构联系,审查我们的系统以评估风险,并确保我们的安全流程和信息的完整性。
沃达丰
保护客户的个人资料和信息是我们的首要任务。在沃达丰,我们已经制定了相关的安全措施,以保护客户不受非法通讯或非法数据访问侵害。
我们不断复查并升级我们的系统和流程,使用全球最佳的方法,杜绝任何非法访问。沃达丰能够充分意识到保护客户通讯数据的法律责任,并遵守这些义务。
我们不知道任何使用SS7信令非法获取沃达丰客户通话及其它信息的情况。
唯一一家提供SS7的商业使用,以进行定位跟踪的公司是慧锐(Verint),它位于纽约,在全球各地设有办公室,包括澳大利亚。“六十分钟时事”获得了一份慧锐产品的机密手册,该产品名为SkyLock,是一种蜂窝网络跟踪系统,其副标题的标语是:“定位、跟踪、操纵”。
慧锐在其营销材料中承诺,不会针对美国或以色列的手机用户使用SkyLock,但其市场宣传并不排除它会向客户提供澳大利亚手机用户数据的可能性。
如果其客户拥有使用SS7的ATI请求能力的权限,就再也无法阻止他们使用SS7查询并跟踪全世界任何地方的手机了。
澳大利亚联政府采购记录显示,2005至2012年期间,慧锐的澳大利亚办公室向澳大利亚犯罪委员会提供了价值79万5000美元的软件、计算机服务和软件维护与支持。
“六十分钟时事”询问慧锐是否向澳大利亚的客户销售过SkyLock,以及是否部署了保护措施,防止SkyLock用户将其滥用于公司商业间谍和诈骗等非法目的。
NSA使用SS7的证据
安全产业界里一直存在这样的推测:英国、美国、澳大利亚这样的国家之所以没有尽快修补SS7的漏洞,是因为这些国家的情报机构正在使用它来进行位置跟踪和电话窃听等间谍行为。
2013年十二月,澳大利亚某报纸详细介绍了NSA泄密者爱德华·斯诺登(Edward Snowden)在2009年泄露的美国外交电文,当时的澳大利亚国防信号局(现澳大利亚信号局)跟踪了克里斯蒂安尼·海拉瓦蒂(Kristiani Herawati)的手机,她是印度尼西亚时任总统苏西洛·班邦·尤多约诺(Susilo Bambang Yudhuyono)的夫人。
该窃听行为的原理从未被揭示过,但看上去,SS7有可能是最佳解释。对信令系统发出简单的查询就将得到印尼第一夫人唯一的IMEI号码,然后可以启用跟踪并将电话转接到录音设备。
罪犯广泛使用伪基站
“六十分钟时事”报道过如何使用GSMK Cryptophone探测国际用户识别码(International Mobile Subscriber Identity,IMSI)抓取器,又名伪基站。结果表明,澳大利亚存在这样的伪基站。CryptoPhone带有一个基带防火墙,它能够检测到伪基站强迫手机连接进行连接的意图,还会对IMSI抓取器试图强迫3G或4G加密降级到2G的行为发出警报。2G是一种弱加密级别,很容易被破解。
在过去的几个月里,“六十分钟时事”记者罗斯·库尔哈特在围绕悉尼市中心的行动中检测到了可疑的IMSI抓取器,包括在大桥街(Bridge Street)上的澳大利亚证券交易所大楼外。每一次伪基站试图强迫手机使用未加密连接与其通信,都会导致很多普通手机上的数据遭到泄露。
他在悉尼东郊某地点检测到了多个伪基站,并在CryptoPhone发出警报时进行了实时录像。尽管确实存在一定的可能性,即这些IMSI检测记录都属于正常的执法行动,美国的经验则表明至少有一些伪基站是被罪犯和企业间谍以进行欺诈和间谍行动为目的非法使用的。
ESD America是一家位于拉斯维加斯的公司,它销售Cyptophone,致力于研发反监视技术。该公司首席执行官莱斯·戈德史密斯(Les Goldsmith)对媒体表示,他的公司已经在美国检测到了68个IMSI抓取器,包括在敏感政府听证会和军事设施附近。
他表示IMSI抓取器正被罪犯广为使用,因为“罪犯手中的IMSI抓取器意味着他们能够针对某个特定建筑,监听其电话并记录下所有信息,等待某人在给打给银行的电话中泄露自己的密码,比如在进行重要的私人交易时。”
检测伪基站的技术突破
ESD和德国公司GSMK合作开发了一项名为Overwatch的技术,这是首项能够实时检测伪基站,将它们和真实信号塔区别开的技术。GSMK总监比约恩·拉普(Bjoern Rupp )在镜头前首次演示了Overwatch技术,展示了如何使用城市内的传感器对伪基站进行三角定位,并在地图上标出。
Overwatch的目标是给政府和运营商提供前所未有的警报系统,在发现非法IMSI抓取器时进行报警,并找到其位置。
该技术突破可能会影响过去几十年内情报机构使用的最强大工具之一。GSMK和ESD也开发了另一个产品Oversight,它会检测可疑的SS7活动。
欧洲的一些运营商已经配备了Oversight技术,报告显示,他们已经注意到了使用SS7的可疑活动,之后就可以阻止它们。
Oversight和Overwatch这两项技术突破的潜在影响是巨大的:不论是政府还是流氓犯罪分子,滥用SS7和IMSI抓取器的好日子可能要到头了。不过目前,SS7存在的巨大安全漏洞还没有得到修补。
供销售的SS7黑客服务
一个有趣的复杂案例。意大利的数字军火商Hacking Team在2015年七月遭受了一次重大电子邮件泄露事故。事件中泄露的电子邮件中表明了该公司对于利用数据泄露的理解。“这是公然侵犯隐私!”Hacking Team首席执行官戴维·文森泽蒂(David Vincenzetti)抱怨道,“他们怎么收集到这些信息的?”
他的技术专家返回的答案是:匿名的入侵者很有可能通过意大利电信公司(Telecom Italia)内部人士,使用SS7访问了他们的数据。
泄露的电子邮件还显示,Hacking Team之前接触过一家名为CleverSig的公司,后者声称可通过一家运营商实现SS7追踪,价格为每月1万4000到1万6000美元。
这表明,就像很多安全运营商开始担心的那样,SS7信令系统的监视能力现在已经被肆无忌惮的商业运营商所利用,谋取利润。
媒体联系了位于以色列的CleverSig公司的创始人埃坦.克伦(Eitan Keren)评论这次电子邮件泄露事件。对方表示,“并不是所有你看到的那些数据都是有效的。谨慎阅读你拿到的数据。”然后他继续否认曾参与过SS7追踪。同样的问题也被抛给了慧锐公司,该公司是SkyLock监视技术的制造商。对方没有回应。