什么是 SS7,据称中国正用它来窥探特朗普的手机?

in #security6 years ago

几十年来,电信行业已经知道其移动基础设施中有一个主要漏洞,那为什么没有拯救它?

纽约时报说,特朗普经常使用个人的 iPhone 和朋友、密友通信,而不是另外两部国安局推荐的保密 iPhone。英国“泰晤士报”采访的匿名白宫官员称,特朗普一再被警告,他在这些设备上拨打电话并不安全,“中国间谍经常在窃听。”

去年,美国国土安全部的一份报告发现,政府雇员使用的移动设备在信息安全方面存在严重弱点。特别是,该报告指出了七号信令系统(SS7),这是电信公司用来协调他们如何将我们的智能手机数据和呼叫路由到世界各地的协议,它本身就是一个重大威胁。

虽然允许中国间谍窃听特朗普电话的机制在“ 泰晤士报”的报道中没有被提及,但有充分的理由相信它涉及 SS7 —— 过去曾多次被用来监视美国和外国政府官员。

什么是 SS7?

1980 年,国际电信联盟将七号信令系统编纂为电话信令的国际标准协议。信令是向网络提供信息的技术术语,在通信设备之间传递的各种控制信号,如占用、释放、设备忙闲状态、被叫用户号码等,都属于信令。信令就是各个交换局在完成呼叫接续中的一种通信语言。信令系统指导系统各部分相互配合,协同运行,共同完成某项任务。当 SS7 被用作路由电话呼叫的标准协议时,它标志着电话革命。

在 SS7 之前,信令信息是在与呼叫本身相同的信道上发送的:用户可以拨打号码(信号)并在相同的线路上通话。SS7 则建立了用于信令和实际呼叫的单独信道。这不仅允许显著更高的数据传输速率,而且还允许在呼叫期间的任何时刻而不是仅在开始时发生信令。这大大提高了电话的质量和可靠性

然而,到了千禧年,SS7 协议的裂缝开始显现。SS7 网络的主要问题是它将通过网络发送的所有信息视为合法信息。因此,如果不良行为者获得对网络的访问权,他们就可以捕获该信任系统并使用它来操纵或拦截所发送的信令信息。1999 年,第三代合作伙伴计划(3GPP)- 一个处理电信标准的组织联盟,对 SS7 中发现的漏洞发出了严重的警告。

“当前 SS7 系统存在的问题是,消息可能以不受控制的方式被改变,注入或删除到全球 SS7 网络中,”3GPP 在 2000 年的一份报告中写道。正如 3GPP 所指出的那样,过去 SS7 信号是在“相对较小”的电信提供商之间路由的,这使得对该信道的控制更加可行。SS7 的设计者并未预料到互联网和移动电话的爆炸性增长,这导致了连接到主要电信骨干网的小型网络的激增。

如果 SS7 最初只有几个入口被主要的电信公司和组织小心保护,那么到了中期就有成千上万的入口,其中许多都受到威权政权的控制。这使得整个系统对于每个人都存在风险。

“SS7 没有足够的安全性,”3GPP 在其报告中总结道,“移动运营商需要保护自己免受黑客攻击以及可能阻断网络或影响网络正常运行的无意操作。”

间谍和黑客如何利用了 SS7?

基于 SS7 安全漏洞的可怕预测,人们也许会假设电信组织将采取行动来保护世界移动通信的骨干,但他们都错了。

尽管 SS7 的安全问题在 20 多年前就被注意到了,但这些年间几乎没有采取任何措施来解决这些问题。正相反,电信行业是在尽其所能避免解决 SS7 的安全漏洞。

与此同时,我们越来越依赖手机,这些手机现在不仅用于打电话,还用于控制智能家居和查看我们的银行账户等所有内容,更有双重身份验证!这更加剧了对 SS7 网络的攻击风险。

正如 Kim Zetter 在文章中所指出的那样,电信行业没有对 SS7 的漏洞采取行动的原因是因为许多运营商“认为风险是理论上的。”事实上,正如 3GPP 报告中所指出的那样,尽管研究人员认识到理论上可能发生许多不同的攻击,但是目前为止还没有发现对 SS7 进行的故意攻击。其中包括跟踪个人手机的物理位置,有针对性地中断手机服务、截取短信和窃听电话。

2008 年,研究员 Tobias Engel 在德国的黑客大会 Chaos Communication Congress 上就展示了如何使用 SS7 定位个人手机;2014 年,他在 CCC 进行了另一场演讲中,展示了 SS7 如何用于定位、跟踪和操纵手机用户。正如 Engel 指出的那样,获得 SS7 网络的访问轻而易举:通过 hacking 连接到互联网的电信运营商设备就可以完成,通过称为 femtocell 的低功率蜂窝基站访问它,或者只需从电信公司购买访问权限。

同年,美国助理国务卿维多利亚·努兰(Victoria Nuland)在与美国驻乌克兰大使的电话会议上与欧盟联系。正如乌克兰电信管理局晚些时候在一份报告中所揭示的那样,该呼叫发生在一个普通的电信网络上,被拦截并重新转向俄罗斯圣彼得堡的固定电话。虽然研究人员并不认为是俄罗斯使用 SS7 漏洞来拦截电话,但事件的细节显示似乎可能就是这种情况。

到 2014 年,已经很清楚 SS7 攻击的威胁已不再是理论上的。事实上,SS7 网络正在成为政府和非国家行为者最有力的攻击媒介之一。然而,尽管存在这些风险,电信行业仍积极抵制实施强有力的安全措施以解决 SS7 的漏洞

2016 年,两名德国黑客通过窃听加利福尼亚州国会议员 Ted Lieu 使用 iPhone 拨打的电话,在 60 分钟内展示了 SS7 攻击的威力。此外,他们还能够确定 Lieu 在前一天晚上住过哪家酒店,即使他关闭了手机上的 GPS 功能

在此之后,Lieu 致函众议院监督和政府改革委员会,要求其对 SS7 进行调查,以确定其脆弱程度,并确定可能的解决方案。

“这个漏洞有数千种方式影响商业和国家安全,”Lieu 告诉华盛顿邮报,“我确信特朗普的竞选活动很想知道 Ted Cruz 竞选经理在他的手机上说的话。”

Lieu 说的有点接近事实了。然而真实的结果是,中国和俄罗斯的间谍似乎利用了这些相同的漏洞窃听特朗普,而不是特朗普利用 SS7 漏洞窃听 Cruz。

尽管 SS7 漏洞对国家安全和个人隐私造成的风险已有很多详细记录,但问题的适当解决方案尚不确定。2016 年,联邦通信委员会成立了一个研究该问题的工作组,并于 2017 年初发布了最终报告

一种可能的解决方案是放弃 SS7 网络以获得更新的信令协议。实际上,通过互联网(VoIP)路由的数据和呼叫数量的增加意味着为计算机网络设计的信令协议也可以被电信组织有效地利用。一种这样的协议被称为 Diameter,它是在 90 年代后期开发的,用于验证通过计算机网络发送的信息。

虽然联邦通信委员会承认“Diameter 具有一定的固有能力使其更难以被攻击”,但这必须权衡其“可能引入新的漏洞”这一事实。事实上,一些研究团队已经证明了可以在 Diameter 上使用类似 SS7 的漏洞。

FCC 提出的另一个解决方案是电信提供商开发“信任圈”,这将涉及创建一个系统,用于根据收到的信息类型和发送信息的位置对传入信息的可信度进行排序。最后,FCC 建议电信提供商为其用户提供加密支持。

“SS7 漏洞利用主要是因为其范围有限,”FCC 报告总结道,“这些威胁专为特定的最终用户定位设计。消费者可以通过使用端到端加密来保护消息和语音通信内容。“

问题在于,当使用固定电话或手机进行呼叫时,它不是端到端加密的。信号通常在其流通中的不同点加密,但遍历大部分未受保护的网络。因此,FCC 建议手机用户使用 Signal 或 Tor 等商业加密服务。

我们可能永远不会确定 SS7 网络是否真的被利用来窃听特朗普了,但有一件事是肯定的:通过坚持在商业电信网络上使用普通 iPhone,美国总统已经将自己暴露给了世界各地的间谍。◾️