安全研究人员发现了两个独立的监控行动,这些行动利用全球电信基础设施中已知的漏洞来追踪个人位置。研究人员表示,这两起行动可能只是监控供应商广泛滥用全球电话网络访问权限的冰山一角。
数字权利组织Citizen Lab周四发布了一份新报告,详细介绍了这两起新发现的监控行动。背后的监控供应商未被点名,他们以“幽灵”公司的身份伪装成合法的移动运营商,借助对这些网络的访问权限查询目标的位置信息。
新发现揭示了全球电话网络核心技术中持续存在的安全漏洞。
其中一个漏洞是信令系统7(SS7)的不安全性。SS7是一套用于2G和3G网络的协议,多年来一直是移动网络互联和全球呼叫及短信路由的基础。研究人员和专家长期警告称,政府和监控技术制造商可以利用SS7的漏洞定位个人手机,因为SS7不要求身份验证或加密,给恶意操作者留下了可乘之机。
较新的协议Diameter设计用于4G和5G通信,旨在取代SS7并包含其缺失的安全功能。但Citizen Lab报告指出,运营商并非总是实施这些新保护措施,攻击者仍可利用Diameter的漏洞,甚至在某些情况下退回利用旧的SS7协议。
这两起监控行动有一个共同点:都滥用了三个特定电信运营商的访问权限,这些运营商反复成为电信生态系统中监控的入口和中转点。研究人员解释说,这种访问权限使监控供应商及其政府客户能够“隐藏在他们的基础设施背后”。
报告指出,第一个运营商是以色列的019Mobile,研究人员称其被用于多次监控尝试。英国运营商Tango Networks UK也被用于多年的监控活动。
第三个运营商是位于泽西岛的Airtel Jersey,该运营商现由Sure公司拥有,Sure的网络此前曾与监控行动有关联。
Sure首席执行官Alistair Beak向TechCrunch表示,公司“不会直接或知情地将信令访问权限租赁给组织,用于定位或追踪个人,或拦截通信内容”。
Beak称:“Sure意识到数字服务可能被滥用,因此采取了多项措施来降低风险,包括监控和阻止不当信令。任何关于滥用Sure网络的有效证据或投诉都会导致服务立即暂停,若调查确认存在恶意或不当行为,服务将被永久终止。”
Tango Networks和019Mobile未回应TechCrunch的置评请求。
019Mobile的IT与安全负责人Gil Nagar向Citizen Lab发出信函,表示公司“无法确认”Citizen Lab所指的019Mobile基础设施是否属于该公司。
研究人员称,第一家监控供应商支持了多年的全球监控行动,利用多个运营商的基础设施,表明不同政府客户参与了这些行动。
“证据显示这是一个有意图且资金充足的行动,深度融入移动信令生态系统,”研究人员写道。
调查这些攻击的研究员Gary Miller告诉TechCrunch,一些线索指向“一家总部位于以色列、具备专业电信能力的商业地理情报供应商”,但未透露具体名称。以色列有多家公司提供类似服务,如Circles(后被间谍软件制造商NSO集团收购)、Cognyte和Rayzone。
根据Citizen Lab,第一起监控行动试图滥用SS7漏洞,若失败则转而利用Diameter协议。
第二起监控行动则采用不同手段。另一家未被点名的监控供应商通过向特定“高调”目标发送一种特殊短信,直接与目标SIM卡通信,且用户无法察觉。通常此类短信用于运营商向SIM卡发送命令以维持设备连接,但该供应商发送的命令实际上将目标手机变成了定位设备。这种攻击被移动网络安全公司Enea在2019年称为SIMjacker攻击。
Miller表示:“多年来我观察到成千上万次此类攻击,这是一种相当常见且难以检测的漏洞利用。但这些攻击似乎具有地理针对性,表明实施SIMjacker攻击的行为者了解哪些国家和网络最易受攻击。”
他强调,这两起行动只是冰山一角。“我们只关注了全球数百万次攻击中的两起监控行动。”
本文更新内容包括019Mobile向Citizen Lab的回应。
