4月28日，有不少網友表示收到一條奇怪的短信，短信內容是“123456789...”一連串的數字內容，發送短信的號碼只跟自己的號碼差一位數。

4月29日，中國移動官方微博回應稱：2022年4月28日晚，136號段部分客戶收到130開頭號碼(主叫號碼后8位與被叫號碼后8位一致)發來的亂碼短信，發現問題后，公司立即啟動應急響應流程，對相關短信進行攔截處理。

經協同中國聯通核實，原因為中國聯通山東分公司進行系統升級測試所致，中國聯通在定位原因后已迅速進行了相應處置。

雖然這是一次烏龍事件并非是由網絡攻擊引起，通過應急服務處理得到了妥善的解決，但顯然這并不意味著我們應該對通訊安全放松警惕。事實上在通訊行業，一直存在著一些亟待解決的頑固漏洞，比如今天文章的主角SS7漏洞，就是其中之一。SS7漏洞堪稱通訊行業的“核彈級漏洞”，t它信行業付出了許多代價，可允許攻擊者竊取用戶的通話和短信。

更有意思的是，這個漏洞雖然存在已久，但是卻一直在被攻擊者利用。那么，今天咱們就再聊聊這個神奇的SS7漏洞。

SS7漏洞由來已久

SS7漏洞最早被披露出來是在1998年的歐洲電信標準協會(ETSI)文檔中，報告認為“SS7 中缺乏足夠的安全性，移動運營商需要保護自己不被黑客攻擊。如有疏忽，可能導致網絡停止或無法正常運行”。

而SS7漏洞廣為大家熟知則是在2014年。4月，在美國CBS電視臺一檔名為《60分鐘》的新聞節目中，主持人向觀眾公開展示了通信行業一個核彈級漏洞，即SS7漏洞：在美國國會議員Ted Lieu的同意下，兩名德國安全研究實驗室安全研究員成功監聽了議員跟他人的通話，并且還可以追蹤到他的確切位置。

節目一經播出立刻引發了美國民眾對于SS7漏洞的擔憂，有議員借此呼吁召開國會聽證會討論SS7漏洞的問題，聯邦通信委員會(FCC)也表示計劃就此問題進行審查。

此時，人們不禁回想起2014年2月爆發的美國駐克烏蘭大使泄密事件。有人認為，之所以駐烏克蘭大使和美國國務卿助理的通話會被公布在YouTube上，很有可能是因為有人利用SS7漏洞進行了竊聽。而后烏克蘭政府發布的一份報告進一步證實了這一猜想，同時指出錄音數據被發送到俄羅斯，很有可能已經“泄密”。

同年，在德國召開的第地31屆Chaos通信大會上，兩位安全專家在主題演講中著重強調了SS7漏洞，呼吁企業和組織重視該問題，Positive Technologies公司也在12月發布了相關研究的報告。

此后，SS7漏洞一直被攻擊者肆意利用，竊取他人通話記錄或短信驗證碼，并以此為跳板發起更層次的網絡攻擊，給很多企業和組織造成嚴重的影響。

例如在2017年，德國移動電信運營商O2電信公司承認，其部分用戶由于SS7協議漏洞被黑客劫持了2FA短信驗證，導致用戶銀行卡賬戶被盜。攻擊者在午夜發起了這次攻擊，不少用戶在熟睡中損失了大筆錢財。

2020年，某位舉報人還曾向媒體舉報，沙特阿拉伯三大運營商正利用全球移動通信運營網絡SS7協議漏洞，對處在美國各地的沙特公民進行電話追蹤定位，而且其此舉的頻率竟高達每小時2-13次。從獲取的數據來看，僅在過去4個月的時間里，就有數百萬沙特公民手機被追蹤。

同樣是在2020年，Positive Technologies公司的網絡安全專家們再次披露稱，一項全新的網絡攻擊活動正在利用SS7漏洞，通過該漏洞，攻擊者可冒充移動用戶并接收本應發給他人的信息。在概念驗證演示環節，攻擊者只需要一臺廉價的Linux筆記本和一套SDK就可以拿到至關重要的驗證碼。

時至今日，SS7漏洞在很多地方依舊沒有被修復。在暗網上，SS7漏洞已經成為一項服務，明碼標價地售賣SS7黑客攻擊或漏洞利用服務。

更為危險的是，有實際證據表明，SS7漏洞正在成為政治武器，在高度文明的今天被用于間諜活動。

2014年8月，華盛頓郵報發表了一篇文章，稱監視系統制造商正向全球的政府和其它客戶提供SS7訪問權限，以追蹤任何攜帶手機者的行蹤。這遠遠超出了該信令系統最初被設計的意圖，并引起了大量的對實質性隱私問題(Substantial Privacy)和商業間諜活動的擔憂。像美國國家安全局(National Security Agency，NSA)這樣情報機構則完全擁有這種能力。

這個故事加深了人們的一種合理擔憂：流氓政府可以接入SS7，跟蹤政治異見者或針對競爭國家進行間諜活動。

事實上，移動通訊一直都是政治交鋒間的必爭之地。早在2015年，美國獨立新聞網站The Intercept 曾披露了一份令人震驚的文檔，該文檔由斯諾登提供，文檔中詳細介紹了美國和英國的情報人員如何黑進了著名SIM卡制造商Gemalto(金雅拓)并竊取了保護用戶通話信息的關鍵性密匙，以監聽全球手機通訊，包括電話語音通訊以及數據的傳輸。

而這似乎也歸屬于美國臭名昭著的棱鏡計劃(PRISM);這是一項由美國國家安全局自2007年起開始實施的絕密電子監聽計劃。該計劃的正式名號為“US-984XN”。

棱鏡"監控的主要有10類信息：電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網絡資料的細節都被政府監控。通過棱鏡項目，國安局甚至可以實時監控一個人正在進行的網絡搜索內容。棱鏡計劃也通過滲透，入侵各國基礎通訊設施，達到監聽的目的，通過SS7信令等，2013年10月，德媒曝光NSA竊聽德國總理默克爾的手機。

因此，守護移動通訊安全，也必將成為守護國防安全的重要一環。

什么是SS7漏洞？

在介紹SS7漏洞之前，我們先要了解一下什么是SS7協議。

SS7全稱Signaling System 7，是一種廣泛應用在公共交換電話網、蜂窩通信網絡等現代通信網絡的協議。

SS7采用的是公共信道信令技術，也就是帶外信令技術，即為信令服務提供獨立的分組交換網絡。北美以外SS7通常被稱為C7.SS7 最早是為電話呼叫控制應用而設計的。自從它們被開發以來，SS7 應用已經有了巨大的擴展。當前SS7 的功能包含了數據庫查詢、事物處理、網絡操作和綜合業務數據網絡(Integrated Services Digital Network,ISDN)等。

目前，世界許多電信運營商(如AT&T和Verizon)都在使用該協議。SS7被用于設置漫游，以便能在所屬運營商范圍之外也能撥打電話收發短信。域外運營商會通過SS7向所屬運營商發送獲取手機唯一ID的請求以便跟蹤手機，還會請求手機通信被重定向到它的網絡以便投遞呼叫和短信。

但是，SS7存在一個由來已久的弊端——任何能登入SS7網絡服務器或網關的人(包括全世界數百家電信公司在內)，都可以向電信公司發送位置漫游和重定向請求，電信公司多半會遵從請求。

這就使得攻擊者可以遠程竊聽立法者、公司高管、軍方人員、激進分子和其他人士。通過劫持你的短信和通話，攻擊者也就能夠獲取Gmail和其他服務通過短信發送的雙因子身份驗證登錄碼。已經知道用戶名和密碼的攻擊者就能在你收到之前攔截驗證碼，登錄你的賬戶。

(SS7漏洞甚至可用于劫持Telegram加密對話)

而誰可以登入SS7呢？全世界數百家電信公司都可以。政府情報機構也可以訪問這一網絡，無論電信公司允許與否。商業公司也可以將SS7電話追蹤服務售賣給政府和其他客戶。有能力收買電信員工的犯罪團伙同樣可以使用SS7，攻破了有漏洞的SS7設備的黑客也行。

常見的SS7漏洞利用場景

1. 竊取短信驗證碼

某知名安全研究團隊表示，SS7漏洞最常被利用的場景之一就是攔截短信中的一次性雙因素認證令牌(驗證碼)。具體來說，攻擊者可在虛假的MSC(移動交換中心)上注冊受害者 MSISDN(移動號碼)，受害者運營商的 HLR(歸屬位置寄存器)作為 MSISDN、運營商和 SMS 服務中心的一種電話簿( SMSC) 將為受害者的 MSISDN 設置新位置。

當受害者銀行向他們發送雙因素身份驗證令牌時，MSC 將 SMS 傳輸到 SMSC，真正的 MSMSC 向受害者運營商的 HLR 詢問受害者的位置，HLR 回復攻擊者操作的 MSC。真實運營商的 SMSC 將 SMS 傳輸到攻擊操作的虛假MSC，因此攻擊者可以獲得受害者的驗證碼，從而可以進行轉賬等操作。

2. 竊聽或攔截通話

既然可以竊取短信驗證碼，那么攻擊者自然也可以竊聽或攔截通話。攻擊者可以使用欺騙過程的第一部分將受害者來電重定向到VoIP提供商或他們自己的IP-PBX(例如 Asterisk)，并像處理任何VoIP來電一樣處理來電。

第一種做法就如同前文德國研究人員竊聽美國議員電話那樣，從德國向澳洲的運營商發出了將某位政客語音信箱重配置成轉發給該研究人員的請求，就可以輕易完成攻擊。

第二種做法是濫用重寫撥出號碼功能。舉例說明一下，如果你正在國外，撥打手機聯系人中的號碼，重寫功能會識別出這是一個國際電話，并自動附帶上國別區號。

第三種做法是利用了手機不接電話或短信時通常不會和網絡通信的特性。此時攻擊者可以騙你的運營商說你正在德國，任何發往你手機的通信都應重定向到德國。

3. 時刻追蹤用戶的位置

有許多免費或付費的清晰網絡服務允許一些基本的 HLR 查找服務，這些服務都不需要提供移動用戶的確切位置，但是它們在一定程度上允許一部分人查看 MSISDN 是否正在漫游，分配給其歸屬運營商，活動或停用。

攻擊者可以通過登錄SS7服務器獲取目標手機中與漫游相關的所有信息。具體而言，利用上述SS7協議漏洞，登錄SS7服務器后，以核實漫游賬單為由，向電信公司發出了一個“提供用戶信息”(PSI)的請求，根據返回數據，即可拿到監控目標地理位置等在內的系列隱私信息。

出于精準核實的功能需要，“提供用戶信息”(PSI)請求在對手機設備定位的精確度上可以在幾百米范圍內。這也代表著，攻擊者拿到的定位信息也極為精準。可以說，通過SS7漏洞，實現大規模地理位置追蹤監控絕對具有相當高的可行性。

結語

那么，問題來了，一個不安全的SS7協議為何使用了如此之久？

有專家曾指出可以設置自動化的防火墻和過濾器來解決這一問題，但勢必對正常通信造成影響，因噎廢食自然是不可取。同時，想要改進這一問題就需要對整套系統進行修改，設置一系列的規則，無疑會加大企業的投入，且這份投入將會是持續性的，這也是很多企業沒有下定決心解決該問題的原因。

美國也曾推動SS7漏洞修復工作，但最終卻也未能如愿。在2016年，美國國家標準與技術局(NIST)同樣不再建議在雙因子身份驗證中使用短信了，就是因為考慮到了利用SS7攻擊的可能。

畢竟，做好安全的最終目的是為了讓企業業務更好、更快的發展，而當安全的負擔過于沉重時，視而不見或主動規避就會成為第二選擇。

就目前而言，想要在2/3/4G中解決SS7漏洞幾乎不可能，不過隨著5G技術的不斷發展和成熟，或可有辦法根治這一難題。