美國參議員Ron Wyden要求對移動網絡的安全進行徹底改革 - 彭博社
Ryan Gallagher
俄勒岡州民主黨參議員羅恩·懷登在一月份的聽證會上。攝影師:格雷姆·斯隆/彭博社俄勒岡州參議員羅恩·懷登警告稱,外國政府正在利用移動電話網絡中的安全漏洞秘密跟蹤美國人在美國境內以及海外的記者和異見人士。
懷登在一封週四寄給喬·拜登總統的信中敦促白宮支持對美國無線運營商的網絡安全標準進行重大改革以應對這一威脅。
懷登寫道:“至少過去十年來,監視公司及其威權外國政府的客户一直利用美國和外國電話網絡中的安全漏洞跟蹤全球任何地方的手機。”他補充説,這種做法“威脅到美國國家安全、新聞自由和國際人權。”
參議員關注的焦點是一種名為SS7或信令系統7的鮮為人知的電信協議,這是全球電信行業的交換機,用於在電話網絡之間路由通信。SS7存在已知的安全漏洞,政府和私人監視公司過去曾利用這些漏洞來截取電話通話和短信,並跟蹤人們的位置。
這種監視方法不需要入侵個人手機來在設備上安裝間諜軟件並竊取數據。相反,它可以用來欺騙電話網絡本身,讓其交出特定手機的通信或位置信息。根據懷登的説法,現在有多家公司向外國政府提供這種“電話公司黑客服務”。
CTIA代表,代表美國無線通信行業的貿易協會,目前尚未就此發表評論。行業組織此前已經認識到了這個問題。GSMA,一個與國際運營商合作的行業組織,已經承認與SS7相關的“已知漏洞”,去年發佈了旨在幫助防止協議濫用的行為準則。
Wyden指責CISA“積極隱藏有關這個問題的信息”,引用他稱該機構在2022年委託但拒絕公開發布的一份獨立報告。CISA的一位發言人在一封電子郵件聲明中表示,該機構不對國會函件發表評論,而是將直接回應參議員。
2021年,彭博新聞報道了一家名為Mitto AG的瑞士公司,其聯合創始人據稱秘密提供利用SS7漏洞的監視服務。該公司否認經營監視業務,並表示將進行調查“以確定我們的技術和業務是否受到損害。” Mitto的幾位客户,包括Twitter Inc.,隨後與該公司斷絕了聯繫。
閲讀更多: 瑞士公司高管被指控運行秘密監視行動
據Wyden稱,瑞士政府目前正領導國際上推動監管SS7監視服務銷售的行動,該行動是在瓦賽納協定下進行的,這是一個多國合作的出口管制論壇。
Wyden呼籲拜登總統指示國家網絡主任協調各機構行動,並至少每年兩次向國會提供更新,直到威脅“得到有效解決”。他提出了一系列建議來應對監視漏洞,呼籲管理和預算辦公室在與CISA和NSA協商的基礎上,為聯邦機構購買的無線服務建立最低網絡安全標準。
他還建議政府制裁據稱提供SS7相關服務的監視技術公司,包括以色列公司Cognyte和Rayzone Group,保加利亞的Circles和總部位於巴拿馬的Defentek。每家公司的代表都沒有回應置評請求。
“無線行業未能保護用户,包括聯邦機構,原因很簡單:美國政府未能設定最低網絡安全標準,”Wyden在信中説。“有效應對這一威脅將需要全政府努力,並與我們的盟友進行外交合作。”
韋登長期主張限制使用侵入式監視技術。這位參議員是參議院情報委員會的成員,此前曾批評NSA的大規模監視項目,並對政府機構購買美國人個人數據的做法進行了審查。