作者:Gary Miller and Christopher Parsons 翻译:Doris Liu 转载请注明
介绍
移动网络收集并存储的信息可以说是我们生活中最新、最全面的档案之一。我们的手机与这些网络连接,揭示了我们的行为、人口数据、社交圈、购物习惯、睡眠模式、生活和工作地点,还提供了我们的旅行记录。然而,由于移动通信网络存在技术漏洞,这些信息的整体性受到了威胁。这些漏洞可被用来向许多不同的行为者暴露隐私信息,而且与我们旅行时手机如何在移动运营商的网络中漫游密切相关。具体来说,这些漏洞通常与电信网络之间发送的信号信息有关,这些信息会使手机暴露于不同的位置泄露模式。
电信网络的设计依赖于专用但开放的信号连接。这些连接实现了国内和国际漫游,移动电话可以从一家公司的网络无缝连接到另一家公司的网络。用于此目的的信号协议还允许网络检索有关用户的信息,如号码是否激活、用户可使用哪些服务、用户在哪个国家的网络注册以及用户的位置。然而,这些连接和相关的信号协议不断被监视者盯上并加以利用,致使我们的手机在多种位置披露方法之下暴露位置。
由于移动电信网络的互通方式,大多数基于网络的非法位置信息披露成为可能。外国情报和安全部门以及私营情报公司经常试图获取位置信息,执法部门等国内行动者也是如此。值得注意的是,执法部门和情报部门可以使用的方法与非法行动者使用的方法类似,使他们能够高度保密地获取个人的地理位置信息。在本报告中,我们通常将所有这些行为者称为 "监视行动者",以表示他们对进行移动设备地理位置监视的兴趣。
尽管全球4G网络普及率很高,5G网络的覆盖范围也在迅速扩大,但仍有许多移动设备及其用户依赖于较老的3G网络。这种情况在东欧、中东和撒哈拉以南非洲地区尤为突出,根据GSMA(一家为移动行业成员提供信息、服务和指导的组织)的数据,这些地区的3G用户普及率为55%。
此外,据英国移动市场情报公司Mobilesquared估计,到2021年底,全球只有四分之一的移动网络运营商部署了旨在削弱地理定位监控的信号防火墙。电信业内人士了解到,3G漫游中使用的SS7信号传输协议中的漏洞使得商业监控产品得以开发,这些产品为运营商提供了匿名性、多个接入点和攻击载体、无处不在且可全球访问的网络以及无限的目标列表,而且几乎没有财务或法律风险。
本报告概述了与当代网络相关的地理定位威胁,这些网络依赖于 3G、4G 和 5G 网络运营商使用的协议,随后提供了这些威胁扩散的证据。
第1部分介绍了在移动网络中未经授权披露位置信息的历史背景,以及监控人员使用的目标识别符的重要性。
第2部分解释了用于国际漫游的信号协议如何使移动网络变得易受攻击,以及监视者如何利用网络实施攻击。对移动生态系统的概述为国内和国际网络监控的技术细节奠定了基础,而带有攻击证据的主动和被动监控技术的载体则说明了位置信息是如何呈现给行动者的。
第3部分详细介绍了媒体报道中的一个案例研究,其中显示了国家普遍支持的监控证据,随后是威胁情报数据,揭示了2023年发现的攻击行为的网络来源。这些案例研究强调了开展此类监控行动的重要性和相关性。
第4部分讨论了网络安全监督和问责方面的缺陷。这包括概述行业组织和政府监管机构为监控行动者提供的激励和推动因素。
第5部分明确指出,除非政策制定者迅速采取行动,迫使电信提供商采用5G标准和设备中的安全功能,否则采用5G技术不会减轻未来的监控风险。如果政策制定者不迅速采取行动,那么监控者可能会继续通过跟踪手机用户的实际位置来对其进行掠夺。未来用户隐私的景象一片暗淡,必须避免这种情况。
1. 漫游、SIM卡和服务101
移动用户希望他们的手机在出国境外旅行时也能正常使用。然而,当个人出国旅行时,他们最容易受到基于网络的地理位置跟踪。
当个人携带移动电话进行国际旅行时,该手机仍可在其本国移动网络(即与其关联的国内运营商)之外继续运行。这种持续运行是通过世界各地网络运营商之间的一系列全球互联和协议实现的。这些互联和协议往往是每种网络类型(3G、4G和5G)所独有的,这些网络历来通过电话信号协议进行桥接,这些协议自20世纪70年代起就已开发出来,形成了7号信令系统(SS7网络),随后又形成了使用Diameter信号协议的Long Term Evolution网络(LTE/4G)。
图1:国际漫游业务流程
在不同的国外网络漫游时,作为提供给用户在其网络上漫游服务的交换,这些网络会对语音通话、数据和信息服务收取不同的费率。为了提供这项服务,需要相关网络运营商互相开放网络以便实现互通。正是这种互通使个人用户在国外网络漫游时无缝拨打通话、发送短信或使用数据。
一般来说,批发漫游协议(如GSMA框架中包含的信息)用于确立网络漫游合作伙伴之间信息收发的商业和运营方面的服务交换。信号信息是运营商之间的信息,用于验证和管理用户移动性。在功能上,运营商使用信号消息建立和维护为用户提供服务的工作段。
不过,虽然安全最佳实践规定移动网络运营商应拒绝非漫游合作伙伴发送的信息,或防止滥用信息使用户受到位置跟踪,但这些实践并非义务的或强制执行的。运营商间信号信息安全的这种自愿性为监控者提供了进入目标网络的途径。
此外,网络通常在每个国家至少连接两家网络运营商(通常更多),以最大限度地降低漫游成本和提高网络弹性。虽然这些开放式连接是实现漫游服务的先决条件,但也给地理位置跟踪带来了风险。
1.1从SIM卡到服务--开创网络监控之路
要了解监视者利用哪些漏洞点来跟踪用户的地理位置,就必须了解用户是如何在移动网络上被全球唯一识别的。这些标识符在将恶意地理位置跟踪信息从监控者的软件经由路由和传输到目标手机网络,并将信息返回给监控者的过程中起着至关重要的作用。
移动网络运营商发放SIM卡是了解用户手机身份的起点。当我们习惯于将越来越小的卡插入移动设备时,这些实体卡正迅速被基于软件的eSIM所取代。无论是实体SIM卡还是软件SIM卡,都使用一种称为集成电路卡ID(ICCID)的唯一标识。然后,移动网络运营商在激活服务时使用ICCID分配该网络运营商特有的全球唯一网络标识,即国际移动用户标识(IMSI)。这个全球唯一的特定网络IMSI是从任何全球漫游网络向手机提供服务的关键要素。同时,IMSI也是定位方法的核心,这些定位方法用于来自国外网络的地理定位跟踪操作。
SIM卡或eSIM卡配置到用户账户后,电话号码(电信行业称之为移动台国际用户目录号码(MSISDN)也会映射到网络运营商定义的IMSI上。这些综合信息--MSISDN和IMSI--被整合到网络运营商的服务提供、授权和验证系统中。
这些系统的关键是3G/4G归属位置寄存器/归属用户服务器(HSS/HLR)和5G统一数据管理器(UDM),它们都是主数据库,其中包含与个人按月或按次付费购买的订阅套餐相关的服务授权规则。完全分配和配置SIM卡后,移动设备就可以与运营商的网络进行通信,拨打电话、收发短信和获取全球路由的应用数据。此时,恶意信号信息也会指向设备,从而暴露其地理位置。
图2: 如何提供移动身份以便开展监控行动
IMSI 网络标识符详解
目标手机的IMSI是进行监控的关键信息要素,在行动的初始过程中经常出现,以确定其Cell ID(用于识别特定网络基站塔的唯一号码)的位置。然后,可使用许多Cell ID数据库服务之一将Cell ID与位置相关联。
网络使用3G/4G身份或5G身份。3G和4G网络使用IMSI,通常包括15位数字,例如以下示例:
- 222-333-444444444
- 前3位数字 (222) 是手机国家代码 (MCC)
- 接下来的2-3个数字 (333) 是移动网络代码 (MNC).
- 剩余的数字 (444444444) 标识用户服务线路.
相比之下,5G网络定义了订阅永久标识符(SUPI),而不是IMSI。SUPI等同于IMSI,以确保与4G网络基础设施的兼容性。这种兼容性尤为重要,因为4G网络基础设施是目前大多数5G国际漫游的基础。
5G增加了一项名为"订阅隐藏标识符(SUCI)"的安全功能,该功能采用加密方案,可防止通过无线电接口公开传输用户网络标识。这样做的效果是防止监视者实际接近移动设备,并使用IMSI捕获器等工具拦截无线电通信以强行泄露设备的IMSI号码。包括执法、安全和外国情报机构以及犯罪分子在内的各种行为者都会使用IMSI捕捉器来获取用户的网络身份,以便进行监控。
2. 对电信网络的地理定位攻击
本报告主要关注针对移动信号网络的地理定位威胁。监视者可以利用主动或被动监视方法从移动信号网络获取信息,从而暴露用户的位置。在某些情况下,他们可能会结合多种方法来实现这一目标。
这两种方法之间的区别很明显。主动监控意味着行为者使用软件与移动网络接触,以获取目标手机位置的回应,而被动监控则使用收集设备直接从网络获取手机位置。说到主动攻击,敌对网络会使用软件向易受攻击的目标移动网络发送伪造的信号信息,以查询和获取目标手机当前的地理位置。如果目标网络没有适当部署或配置安全控制,就有可能发生此类攻击。此外,通过租赁部署访问网络的行为者只能使用主动监视方法,除非他们有能力安装或以其他方式访问位于世界各地网络中的被动收集设备。
但是,移动运营商或其他行为者有可能被迫进行主动和被动监控。在这种情况下,网络运营商可能会在法律上被迫为监控行为提供便利,或者遭受非法或违法访问移动系统的敌对内部人员的攻击。此外,如果第三方进入了运营商或提供商的系统,例如通过破坏VPN进入目标网络系统,他们就可能在主动和被动模式下获取目标用户的位置信息。
2.1 主动攻击
在主动攻击的情况下,国内或国外的监视者会使用软件发出信号信息,通过操纵网络信号数据来触发目标用户家庭网络的响应,从而指向目标用户的移动电话身份(通常是IMSI)。此类监控措施可用于促进其他通信拦截、位置泄露或服务中断。在本节中,我们将讨论行为者如何进入网络进行地理位置跟踪,以及随后可能被正在开展主动监控行动的监控行为者利用的一些漏洞。
2.11 行动者如何访问网络进行地理位置跟踪
基于网络的地理定位跟踪通常涉及三个相互关联的要素:
- 专业监控软件;
- 信号地址,用于将恶意信息路由到目标网络,以提取目标设备的地理位置数据;
- 与全球3G SS7和4G Diameter的网络连接。
这一全球SS7或Diameter网络主干被称为IP交换中心(IPX)。IPX的目的是促进移动运营商网络之间的互联,以便根据商定的互操作服务定义和商业协议传输信号信息。此外,IPX架构规定,只有作为移动网络运营商的服务提供商才能连接网络。因此,不应允许不属于移动网络运营商群体的第三方连接和发送移动信号信息,因为这些漏洞会使移动用户受到未经授权的地理定位监控。
监视者与IPX网络的连接通常是通过与移动运营商、IPX中转站或其他第三方服务提供商(如SMS短信提供商、私人移动网络运营商或拥有IPX连接的赞助物联网服务提供商)的隐秘商业布局实现的。虽然IPX的设计目的是在不同运营商的网络之间实现网络漫游,但它也可被滥用来实现暗中的地理位置监控。全球195个国家的750多个移动网络都在使用IPX。
有许多与IPX有联系的公司可能愿意明确地与监视者同流合污,或对监视者利用网络漏洞和一对多的互联点进行地理位置跟踪的行为视而不见。
移动电信公司可以"租用"其网络。这就大大增加了为恶意目的提供IPX接入的公司数量。此外,承租人还可以进一步转租IPX的访问权,从而为监视者创造更多机会使用IPX连接,同时通过多次租赁和转租掩盖其身份。
更详细地说,特定国家的电信运营商根据其国家电信监管机构管理的号码计划申请并分配批量的电话号码范围。这些号码范围通常用于多种用途,如固定电话、移动电话号码或免费电话号码。运营商一旦获得号码分配,就可以将部分号码作为地址(称为全球标题地址(GT))分配和使用给其网络中与其他网络合作伙伴进行国内和国际漫游所需的设备。这包括访客位置寄存器(VLR)、归属位置寄存器(HLR)和其他核心网络设备。
运营商还可以将这些GT分配给第三方承租人。恶意承租人可以:
- 配置监控软件,使用租用的GT进行自己的监控;
- 在云托管解决方案中使用GT,提供商业监控服务;
- 进一步分割GT,以便转租给其他监控人员。
值得注意的是,监视者有可能从单个电信运营商或来自不同辖区的一系列运营商处租用GT。在后一种情况下,监视者可能会在不同的转租全球定位系统之间轮换攻击,以尽量避免被发现,或者在一些转租全球定位系统的攻击碰巧被网络防火墙阻挡的情况下,增加行动成功的可能性。
图3:基于外国网络的地理位置追踪威胁状况
IPX依靠"中心辐射"(hub-and-spoke)模式来促进与其他网络的国际漫游,这使得监视者的行动成为可能。在这种模式下,IPX负责在本地网络和漫游网络之间路由和传输信息,同时还连接其他服务提供商,例如传输SMS信息的服务提供商,以及提供移动号码/HLR查询、物联网移动服务、车辆跟踪或托管移动虚拟网络运营商(MVNO)等增值服务(VAS)的服务提供商,这些服务提供商都与IPX签订了协议。最终的结果是,尽管第三方与它们可以连接的外国网络没有任何直接的商业关系,但它们可以在全球范围内访问移动网络运营商的网络。
2.12 与归属位置寄存器HLR查询和网络识别有关的漏洞
揭示与移动电话号码相关的网络信息的方法之一是使用商业HLR查询服务。这类商业服务使非电信运营商的组织能够在没有移动运营商协议的情况下使用SS7网络检查移动电话号码的状态。在这种情况下,监视行为者将根据向服务提供商提交的移动电话号码查询次数向HLR查询服务提供商支付费用。
在收到要查询的电话号码后,查询服务将使用SS7网络发出查询,并从网络中获取响应。该回复将披露目标号码是否有效以及是否已在移动网络上注册的信息。如果它是有效且被激活的,响应还将显示它所连接的网络以及它是否处于漫游状态。查询中的关键信息将返回与MSISDN相关联的目标IMSI和与目标手机相关联的漫游位置寄存器(VLR)地址。有了这些信息,行动者就可以发出地理位置跟踪请求,具体了解目标手机使用的国家、网络和VLR。
另外,如果监视者已经通过与移动网络的租赁部署接入了SS7网络,他们也可以执行相同的HLR查询,而无需依赖中间的商业HLR查询服务。
跨协议攻击
由于普遍存在地址租赁部署,3G的脆弱性尤为突出,虽然4G网络也可以分配和租用节点地址,但效果相同。在某些情况下,行为者会使用3G和4G网络同时攻击同一个用户;这些攻击被称为"跨协议攻击"。
其效果有两方面:首先,监控者可以直接请求并接收与目标设备IMSI相关的地理位置信息。其次,由于必须在信号信息中填入源地址才能将信息路由回源头,这也会留下攻击痕迹。这意味着,电信供应商操作的网络防火墙可以监控发送HLR查询和位置跟踪信息的网络。
2.13 国内威胁--在被证明有罪之前都是无辜的
当移动运营商授权第三方连接到其网络时,国内位置泄露威胁的风险有时可能比来自国外的威胁更令人担忧。在法治程度较低的国家,国内执法机构或安全机构可能会滥用这种访问权,或者即使在法治程度较高的国家,国家机构也会选择利用全球电信网络的漏洞,而不是努力积极保护和捍卫这些网络。
电信运营商为防止外国运营商或监视者非法查询其用户的地理位置而使用的信号防火墙,在应对国内威胁时可能不那么有效。具体来说,如果信号防火墙配置不当,那么源于同一网络内的攻击可能不会被发现,因为源于运营商自身网络内的活动被认为是可信的,而且网络可能不会筛选和阻止来自自身网络内的位置跟踪信息。其结果是,在家庭网络上获得3G和4G地址的第三方有时可能有能力在不被电信运营商发现或过滤的情况下悄无声息地对用户进行地理定位。
有些国家允许执法机关和安全机构直接连接本国网络,以便在国内和国际上发送位置跟踪信息。在这种情况下,从国内运营商网络地址发送的位置跟踪信息可能被允许使用该国的网络来跟踪国内其他网络或国外网络上用户的位置。
最近的威胁情报数据显示,越南移动运营商Gmobile实施了位置跟踪攻击,而Gmobile的所有者是GTel Mobile,GTel Mobile的所有者是越南公安部。
公安部的职责是调查国家安全事务,因此被指控犯有各种侵犯人权的行为,包括审查和限制互联网自由。
从2022年11月到2023年6月,根据部署在多个移动网络中的防火墙的威胁遥测输出,发现分配给GTel/Gmobile的五个不同SS7 GT针对非洲国家的移动用户开展了监视行动。在数据显示的监控意图中,大多数的恶意信号信息与位置泄露有关。
这些结论来自图 4 所示的数据,这些数据来自移动监视监控项目,该项目跟踪来自威胁情报数据源的监控活动。这些数据显示,部署在移动运营商网络中的Cellusys信号网络防火墙发现并阻止了威胁。这些图表显示了Gmobile所使用的各种SS7消息操作类型的分布情况,Gmobile 试图从每个源GT地址跟踪用户位置,而这些源GT地址本身也被检测到以非洲移动网络中的手机为目标。如图所示,各种信息类型都被用于尝试位置跟踪操作。使用不同信息类型进行位置跟踪的技术通常被用来尝试规避信号防火墙,或提高成功对目标设备进行地理定位的几率。
图4: 越南GT用于跟踪用户地理位置的SS7报文类型
在此期间,Gmobile是越南唯一一个进行SS7定向监控的网络。鉴于Gmobile为公安部所有,因此要么是在公安部知情或允许的情况下进行的,要么是在电信运营商为国家所有的情况下进行的。
2.2被动攻击
被动定位攻击涉及在国内或国外移动网络上使用安装在网络中的收集设备收集与目标移动电话相关的使用或定位信息。这些设备收集通信和网络数据,并将数据转发到由监视者操作的数据仓库或指挥控制设备。
2.21 信号探头和网络监控工具
电信公司通常将信号探头和网络监控工具放置在移动网络中,用于网络故障排除等操作目的。这些设备通常放置在战略性网络位置,以捕获网络设备之间传输的用户级网络流量。在此过程中,探测器会采集用户在家庭网络内或家庭网络与用户当前注册的漫游合作伙伴网络之间发送的原始信号信息或IP流量。网络交易被收集并提供给上游平台,在那里进行处理和存储。一旦进入该平台,就可以对信息进行汇总,以创建用于分析的运行关键性能指标 (KPI),或以某种格式保存以跟踪用户活动,如数据包捕获工具或Wireshark等分析器。
由于这些探测器能截获用户信号信息,因此即使手机没有在进行语音通话或数据会话,它们也能追踪到手机的大致位置。
2.22 位置监控的数据包捕获示例
下图(5和6)显示了从移动网络获取的数据包捕获(PCAP)跟踪示例。这些轨迹来自一个匿名信息源,用于演示监控者如何从移动信号网络中提取位置数据。显示的前两类信息是提供用户位置(PSL)和提供用户信息(PSI)。这只是位置跟踪操作中众多类型中的两个例子。图7中的最后一个示例显示了在移动网络上捕获用户数据会话的被动设备如何揭示手机的位置。
图5: PSL信号信息主动位置跟踪示例
在PSL信息回复中,发回源GT的信息中会披露手机位置的GPS经纬度坐标,而源GT可能是由监控人员操作的。
图6: PSI信号信息主动位置跟踪示例
在图6中,一个手机号码位于加拿大多伦多的国际漫游用户在使用新西兰移动网络时被PSI信息定位。这就在Cell ID层面上暴露了手机的地理位置。用户的位置信息编码在 cellGlobalIdOrServiceAreaIdFixedLength参数中,这是一个八进制字符串,包括当前的MCC、MNC、位置区域代码(LAC)和Cell ID。实际上,有了这个八进制字符串,就可以对移动设备进行地理定位。
图7: 移动数据会话中透露的用户位置和可识别信息
图7所示的捕获数据包显示,移动用户的IMSI、MSISDN和IMEI已在尝试建立数据会话时泄露,如GPRS隧道协议 "创建会话请求 "信息所示。该请求指定了用户位置信息(ULI),它提供了获取用户当前全球位置的必要信息,包括国家、移动网络运营商、基站和注册用户的Cell ID。
3. 案例研究与统计
以下案例研究揭示了一种用于跟踪移动网络目标用户位置的策略。它展示了国家支持的监控行为者如何监控国际旅行者手机在境外的位置。
3.1 案例研究--沙特阿拉伯追踪在美国的旅行者
英国《卫报》揭露了一个可能由国家支持的地理定位追踪的特别典型的例子,它揭露了可能由沙特阿拉伯王国进行的活动。该媒体报道称,据称沙特阿拉伯利用SS7网络跟踪从沙特阿拉伯前往美国的沙特电信运营商用户的行踪。
这种监控是通过向漫游到美国的移动设备发送大量提供用户信息(PSI)的信息来实现的。这些信息由沙特阿拉伯最大的三家移动运营商沙特电信公司 (STC)、Mobily (Etisalat) 和 Zain KSA 发布。当网络收到PSI信息时,它将回应目标设备的Cell ID(CID),而CID又可以在任何给定点唯一识别设备注册的基站。实际上,美国网络处理PSI信息的效果是将美国境内手机的地理位置暴露给沙特阿拉伯的监控人员。监视行动者可将CID与CID数据库联系起来,以确定Cell ID的GPS坐标。因此,从总体上看,允许进入网络的任何PSI信息都起着关键作用,可以确定个人在监视时的地理位置以及目标人物在美国旅行的持续时间。这将起到揭示沙特阿拉伯居民在美国的流动模式的作用。下图描述了这一行动。
图8: 对在美国的沙特阿拉伯旅行者进行定位追踪
文章指出,这些信息每小时多次发送到每部目标沙特手机上,根据预期的网络操作程序,无法解释或证明这种异常活动的合理性。
表1显示的交易是2019年10月至12月期间的汇总数据。它们显示了从沙特阿拉伯三家移动运营商发送到特定美国移动网络的PSI信息数量,目标是在该网络上漫游的沙特手机的IMSI。IMSI总数是同一时间段在该网络上看到的来自漫游合作伙伴的唯一手机数量。
表1:沙特阿拉伯位置跟踪至美国移动运营商-2019年10月至12月
表2中的数据计算了在24小时内从沙特阿拉伯网络运营商收到的跟踪信息总数,并将其分为若干小时段。根据这些单日统计数据,每部手机大约每11分钟被定位一次。
表2: 沙特阿拉伯单日PSI定位追踪针对一家美国移动运营商- 2019年11月29日
通常情况下,来自国外网络的PSI信号信息会被网络防火墙拦截。这种防御措施旨在防止未经授权的地理位置查询。然而,在本案例研究中并没有出现这种情况,因为目标手机是通过各自的沙特阿拉伯家庭网络在美国网络上漫游的。相反,如果这些信息是从外国网络发送给不属于同一网络的用户,例如英国运营商在沙特阿拉伯用户漫游美国网络时对他们进行了查询,这些信息本应被阻止。
本案例研究中概述的全面监控的原因并不完全清楚。不过,我们可以得出结论,这很可能是国家支持的活动,目的是识别在美国旅行的沙特阿拉伯用户的流动模式。
3.2 当前统计数据 - 地理位置跟踪与其他威胁类型对比
有效监管、问责和透明度的缺失使基于网络的地理定位监控坐收渔利。下图提供了一些背景情况,并展示了全球移动网络的现状。
虽然一些行业专家认为移动运营商使用防火墙阻止了大部分地理定位跟踪,从而限制了传统 SS7监控方法的使用,但移动监视监控提供的统计数据表明,地理定位泄露是最普遍的网络威胁类型。
图9:按威胁类型划分的网络攻击分布
移动监控监视器还发现,在2023年上半年,来自100个来源国的约171个网络向位于非洲的移动运营商网络发送了有针对性的地理位置跟踪信息,这表明SS7监控活动的企图仍很普遍。图10显示了2023年发送这些信息最多的恶意网络。前两个网络来源与列表中其他网络来源之间的数量差距表明,来自乍得的Millicom公司和刚果民主共和国Celtel公司的GT很可能试图收集用户位置数据。这些GT的活动与其他来源形成了鲜明对比,如Fink Telecom Services,该公司在调查性新闻公司Lighthouse Reports的报告《网络中的幽灵》中被揭露销售有针对性的商业电话监控服务。
图10: SS7网络地理定位披露威胁--按源网络排序
4. 地理定位攻击的诱因
从局外人的角度来看,保护移动网络的外围安全似乎是一个简单明了的过程。企业通常会在网络边缘使用防火墙进行严格的安全控制和过滤,那么为什么不将同样的方法应用于移动网络呢?为什么不遵循移动网络的行业标准和广为接受的网络安全准则呢?实际上,移动电信的安全问题并不像想象中那样一目了然。深入研究这一关键基础设施领域的一些驱动因素,可以发现一些控制措施比其他控制措施更容易实施。
而国内漫游政策可以由各国的监管机构强制执行,如加拿大电讯委员会(CRTC)的《电信监管政策》或英国《电信安全法》,而国际漫游则是基于独立的双向谈判和信息交流,并不定期进行监督或更新。在行业层面,GSMA批量协议和解决方案(WAS)工作组负责促进技术互操作性和商业方面的工作,运营商之间交换的互操作性和寻址信息保存在称为IR.21的文件中,并通过漫游协议交换(RAEX)进行电子交换。
IR.21中的网络信息包括为运营商网络中的特定设备分配GT地址或范围,目的是通知每个漫游合作伙伴,以便进行路由选择、实现互操作性和安全性。
在移动通信行业,由于缺乏对核心网络设备地址分配清单的严格要求,世界各地的移动运营商在更新漫游地址信息时不够尽责。对RAEX和IR.21中列出的网络地址的依赖性产生矛盾,最终降低了其作为移动安全资源的可靠性。缺乏经授权和验证的漫游合作伙伴名单以及经核实的网络信息,与建立零信任安全态势的基本原则背道而驰。
如果世界各地的每个运营商都能妥善维护严格的合规系统,那么网络就可以利用它来建立更好的周边安全控制。
5. 5G网络中的地理位置跟踪和未实施的防御措施
鉴于用户一直以来都暴露在对手的位置跟踪之下,以及5G新服务的出现,如联网汽车、智能家居、智能电网和医疗保健等,移动网络运营商必须采取全面、综合的方法来保护其网络,这样才能限制监视者可能利用和滥用的漏洞。
用于查询移动设备位置的信号信息类型
就用户位置查询而言,每条信息都执行类似的操作,可能被对手利用;如果电信运营商因配置网络而暴露了这些载体,对手甚至可以同时使用所有这些载体来攻击单个用户。
5.1 增强用户身份隐私保护
5G 标准中的新安全功能在防止网络定位监控方面迈出了重要一步。3G 和 4G 网络使用 IMSI 作为用户网络身份,多年来一直暴露在对手面前,并被获取来进行地理位置跟踪攻击,而 5G 提供了隐私增强功能。这些增强功能能够混淆用户及其设备的网络身份,其形式包括以下标识符:
- Subscription Permanent Identifier (SUPI) — 分配给每个5G订阅的全球唯一标识符
- Subscription Concealed Identifier (SUCI) — SUPI的加密等价物,包括移动国家代码 (MCC) 和移动网络代码 (MNC) 以及移动订阅识别码 (MSIN)
- Globally Unique Temporary Identifier (5G-GUTI) — 5G网络中用于识别移动设备及其相关订阅信息的临时标识符
然而,安全功能的实施在很大程度上取决于电信运营商采用正确的网络配置和利用现有的5G 安全功能。一些运营商有可能不采用这些功能,前提是这样做会增加部署5G基础设施的成本。此外,用户无法确定可用的隐私或安全措施是否已经实施。在实施隐私或安全功能时,应避免这种对用户有害的商业判断,因为如果个人因隐私保护不力而寻求赔偿,或监管机构对故意不保护客户个人信息的公司处以罚款,企业这样做可能会使自己陷入法律或监管困境。
5.2 增强国际信号和互联安全
外国网络能够通过信号信息向国际用户发送信息,从而暴露地理位置,这是对移动网络最普遍的已知攻击。尽管这一点在电信行业众所周知,但问题仍然在于运营商是否保护其用户免受这些威胁。
在完全兼容的云原生5G部署中,国际漫游信号消息通过名为N32的新接口转接国外网络,并使用名为安全边缘保护代理(SEPP)的网络功能。该功能被引入5G网络架构,为国外网络运营商之间历来易受攻击的通信提供了保护。SEPP在漫游网络之间的边界边缘提供急需的加密、完整性和验证。
然而,要提供隐私保护,漫游接口两端的网络都必须实施SEPP功能。让所有漫游合作伙伴实施 SEPP可能极具挑战性;据全球移动供应商协会(GSA)报告,截至2023年4月,在已推出5G服务的351家网络运营商中,只有41家推出了5G云原生架构。
其余310家运营商仍在使用5G非独立架构(NSA),该架构允许移动运营商在5G漫游中绕过SEPP功能,同时仍能提供5G无线接入网络的更快速度和更低延迟优势。
根据2023年3月世界移动通信大会(MWC)上对电信安全供应商的采访,只有少数运营商部署了SEPP,更不用说实际使用了。其结果是,许多运营商在部署5G网络时并没有将5G标准的安全和隐私优势结合起来。
许多网络漏洞是特定移动网络运营商执行电信标准时特有的。然而,鉴于许多运营商已表示愿意向第三方出售接入权,人们格外关切的是,监视者将拥有软件代码来探测和测试外国5G网络的完整性。这将使监视者能够针对每个目标网络实施中的各种网络类型漏洞调整战术、技术和程序。从历史上看,监视者很快就学会了修改攻击方式以伪装痕迹和规避防火墙,而运营商安全部署的缓慢速度也降低了监视者在发现和利用明显漏洞方面所面临的挑战。
运营商在最容易受到攻击的载体上的安全部署步伐缓慢,这应该给各国监管机构敲响警钟。要快速应对攻击,除了要有足够的威胁检测工具外,还必须遵守5G安全准则和标准。如果不采取这些措施,5G网络的部署方式在保护用户免受监视者攻击方面可能只会比之前的3G和4G网络略胜一筹。
6. 总结
根据对移动网络安全的历史、当前和前瞻性评估,地理定位监控应继续引起公众和决策者的高度关注。3G、4G和5G网络架构中都存在可被利用的漏洞,如果没有强制的透明度来揭露不良行为,没有问责措施来迫使运营商纠正这些问题,预计这些漏洞仍将存在。如果说所有三种网络类型的可用性为监视者提供了多种选择的话。如果国家和有组织犯罪实体能够积极监控国内或国外的手机位置,那么这些漏洞将继续对高危人群、企业员工、军队和政府官员的安全构成威胁。
过去四年的情况表明,监控源于在互联网自由度排名较高的国家、偏远小岛国和表面上中立的国家内运行的网络。监视者、执法部门和有组织犯罪团伙系统地利用移动网络当前的漏洞,将其作为情报收集或间谍活动的来源,并利用漏洞达到自己的目的。加勒比海小国出现的威胁活动以及来自东欧和非洲国家的攻击表明,许多电信网络的全球所有权租赁部署被广泛滥用。
鉴于存在的威胁,可以做些什么?虽然本报告没有提出全面的政策建议或技术意见,但有一系列干预措施应优先考虑。
首先,经常在国际旅行期间发生的攻击表明第三方有可能共享私人用户的IMSIs。执法部门和安全部门应积极努力,防止通过暗网等途径贩运此类信息。
其次,应要求网络和其他第三方服务提供商,如提供IPX和运营商间计费结算的服务提供商,对手机IMSI的特殊细节及其随附的移动数据文件进行加密。在开展这些活动的同时,还应定期进行严格的合规性审计。这些保护和问责措施将防止网络中的恶意行为者非法获取或以其他方式利用这些保留的信息。此类审计可由数据保护机构、隐私专员、电信监管机构或消费者权益监管机构进行。
第三,如果不适当地允许第三方访问专用IPX网络,或将其在交换信号流量时获得的信息作为中介,就有可能产生巨大的恶意监控能力。
具体来说,监控运营商可以连接和监控外国网络之间来自国际信号枢纽的流量,并在实施这些攻击的能力方面发挥关键作用。电信、网络安全、数据隐私和消费者权益监管机构都应评估其管辖范围内的移动通信参与者是否在从事有问题的商业行为,从而危及个人安全、隐私和消费者权益。立法者也应关注是否应赋予监管机构更多权力,以惩戒那些将收入置于保护用户之上的不良行为者或移动通信行业参与者。
第四,使用4G网络进行地理定位攻击的频率越来越高,这表明监视行为者愈发精明老练,而且随着全球进入5G时代,这种演变趋势正在提升间谍风险。许多发达国家已经全面启动了5G部署,其中一些国家也出现了地理定位监控活动。这不禁让人怀疑未来与西方国家网络漫游合作的安全性。虽然人们对是否将华为网络设备纳入电信网络投入了大量关注,但对如何确保非中国设备的安全和不被用于促进监控活动却知之甚少。
政策制定者、电信监管者、网络安全机构和立法者都应着手制定一套供应商和平台中立的强制性安全和隐私标准。他们还应积极执行这些标准,并对故意不遵守这些标准的公司处以重罚。
消费者可能会理所当然地认为,他们的电信运营商已经部署和配置了安全防火墙,以确保与地理位置攻击、身份攻击或其他恶意活动相关的信号信息不会指向他们的手机。遗憾的是,事实往往并非如此。几十年来,问责制和透明度的缺失造成了目前这种大范围地理定位监控攻击未被报告的环境。这种现状有效地创造了一个蓬勃发展的地理定位监控市场,同时也确保了一些电信提供商对监控行业的网络互连视而不见,反而从中获益。虽然期望所有电信网络都采取安全和隐私措施来防范所有威胁是不切实际的,但本报告中详述的低风险地理定位威胁应尽快得到解决。
应要求运营商:采用零信任等网络安全准则和框架,并采取行动实现和证明其合规性;在遭受攻击时进行报告;在其网络被监视者滥用时承担责任;努力达成安全协议和认证;进行渗透测试,以发现和补救漏洞。如果运营商不愿意开展这些活动,那么监管机构应该介入,迫使公司开展这些活动。
如今,监视者利用地理定位来暴露私密的个人信息。它被用来追踪人权捍卫者、高级商业领袖、政府官员和军队成员。未来,随着智慧城市、物联网的蓬勃发展,以及互联网连接系统的增长,攻击的能力和潜力只会与日俱增。如果各组织不采取行动,那么民间社会和广大商界的倡导者将不得不向监管机构、政策制定者和政治家施压,积极迫使电信供应商采取适当的安全措施,以减轻与地理定位监控相关的损害和无声的威胁。
作者:Gary Miller and Christopher Parsons 翻译:Doris Liu 转载请注明
1731
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
