安全研究人員揭露兩宗獨立間諜活動,這些活動濫用全球電訊基礎設施的知名漏洞,追蹤人們的位置。研究人員指,這兩宗活動僅是廣泛監視供應商濫用全球手機網絡的冰山一角。數位權利組織 Citizen Lab 周四發佈新報告,詳述這兩宗新發現的活動。報告未點名背後監視供應商,這些供應商以「幽靈」公司形式運作,假冒合法電訊供應商,透過搭便車方式存取網絡,查詢目標的位置資料。
新發現顯示,全球手機網絡支撐技術的已知缺陷持續被濫用。其中一個是 Signaling System 7(SS7)協議的安全問題,這是 2G 及 3G 網絡的通訊協議多年來作為電訊網絡互聯及路由通話與短訊的骨幹。研究人員及專家長期警告,政府及監視科技供應商可利用 SS7 漏洞定位個人手機,因為 SS7 不需認證或加密,讓惡意營運商有機可乘。新一代協議 Diameter 設計用於 4G 及 5G 通訊,本應取代 SS7 並補足安全功能,但 Citizen Lab 報告指出,電訊供應商未全面實施新保護
措施,攻擊者仍可濫用 Diameter,甚至回退至舊 SS7 協議。
三間電訊供應商成監視通道
兩宗間諜活動有一共同點:均濫用三間特定電訊供應商,這些供應商反覆充當「電訊生態系統內的監視入口及中轉點」。這讓監視供應商及其政府客戶能「隱藏於其基礎設施後」,研究人員解釋。以色列營運商 019Mobile 被指用於多宗監視嘗試;英國供應商 Tango Networks U.K. 亦涉多年監視活動;第三間是海峽群島澤西島的 Airtel Jersey,現由 Sure 擁有,此公司網絡先前曾連結監視活動。
Sure 行政總裁 Alistair Beak 向 TechCrunch 表示,公司「不會直接或明知租賃信令存取予組織,用於定位或追蹤個人,或攔截通訊內容」。「Sure 承認數位服務可被濫用,因此採取多項緩解措施,包括監控及阻擋不當信令。公司已實施多項保護措施,防止信令服務濫用。任何相關證據或有效投訴,將即時暫停服務,並經調查確認惡意或不當活動後永久終止。」019Mobile 及 Tango Networks 未回應置評要求。
Citizen Lab 指,第一宗監視供應商促成多年全球多目標活動,利用多間手機供應商基礎設施,研究人員推斷不同政府客戶主導各活動。「證據顯示,這是有計劃且資金充裕的操作,深度融入手機信令生態系統。」調查研究員 Gary Miller 向 TechCrunch 表示,線索指向「以色列商業地理情報供應商,具專門電訊能力」,但未點名。以色列多家公司如 Circles(後被間諜軟件商 NSO Group 收購)、Cognyte 及 Rayzone 提供類似服務。
第一宗活動先試濫用 SS7 漏洞,失敗則轉 Diameter。第二宗活動則用另一監視供應商發送特殊 SMS 予一「高知名度」目標,這些文字訊息直接與目標 SIM 卡通訊,不留用戶痕跡。正常情況下,電訊供應商用此發無害指令維持設備連網,但監視供應商發送指令將目標手機變定位裝置,此類攻擊於 2019 年由 Enea 命名為 SIMjacker。「我多年觀察數千宗此類攻擊,這是常見但難偵測的漏洞,」Miller 說。
「惟這些攻擊具地理針對性,顯示使用 SIMjacker 式攻擊者知悉最易受影響國家及網絡。」Miller 強調,這兩宗僅是全球數百萬攻擊的冰山一角。
