傑西卡·萊昂斯 (Jessica Lyons) 透過 The Register 報導: 美國聯邦通訊委員會終於加強揭露美國電話網路中存在數十年之久的缺陷,據稱這些缺陷被外國政府和監視組織用來遠端監視和監視無線設備。看起來確實如此。爭議焦點在於固定和行動網路營運商用於實現網路之間互連的 7 號訊號系統 (SS7) 和 Diameter 協定。這些是當今電信業的黏合劑。美國監管機構和一些立法者表示,這兩種協議都存在安全漏洞,使人們容易受到不必要的窺探。 SS7 問題已為人所知多年,至少可以追溯到 2008 年,例如,我們在 2010 年和 2014 年撰寫過相關文章。幾乎沒有採取任何措施來解決這些可利用的缺點。
SS7 於 20 世紀 70 年代中期開發,可用於追蹤人們手機的位置。重定向電話和簡訊以便攔截訊息。並監控使用者。 Diameter 協定開發於 20 世紀 90 年代末,包括對本地和漫遊呼叫和訊息的網路存取和 IP 移動性的支援。然而,來源IP位址在傳輸過程中並未加密,這使得犯罪者更容易進行網路欺騙攻擊。 根據 FCC 的說法,“隨著覆蓋範圍的擴大以及更多網路和參與者的引入,惡意方利用 SS7 和 Diameter 的機會就會增加。” [PDF]。
3 月 27 日,委員會要求電信業者考慮並詳細說明他們正在採取哪些措施來防止 SS7 和 Diameter 漏洞被利用來追蹤消費者的位置。我問。 FCC 還要求營運商提供自 2018 年以來濫用其協議的詳細資訊。監管機構希望了解事件發生的日期、發生了什麼、哪些漏洞被利用、如何利用以及在何處進行位置追蹤。 ,以及(如果已知)攻擊者的 ID。 這段時期很重要,因為 2018 年,FCC 的聯邦諮詢委員會通訊安全、可靠性和互通性委員會 (CSRIC) 發布了多項安全最佳實踐,以防止網路入侵和未經授權的位置追蹤。有興趣的各方必須在 4 月 26 日之前提交評論,之後 FCC 必須在一個月內回應。