ΑρχικήsecurityΗ Σαουδική Αραβία κατασκοπεύει κινητά μέσω ευπαθειών στο SS7

Η Σαουδική Αραβία κατασκοπεύει κινητά μέσω ευπαθειών στο SS7

SS7

Εδώ και πολύ καιρό, οι εμπειρογνώμονες και οι ειδικοί σε θέματα ασφαλείας, προειδοποιούν για την ύπαρξη ελαττωμάτων στα δίκτυα κινητής τηλεφωνίας ανά τον κόσμο. Και τώρα μία καταγγελία, αναφέρει ότι η κυβέρνηση της Σαουδικής Αραβίας, εκμεταλλεύεται αυτές τις ευπάθειες προκειμένου να παρακολουθεί τους πολίτες της στις ΗΠΑ.   

Πρόκειται για την πιο πρόσφατη τακτική που χρησιμοποιεί η χώρα για να κατασκοπεύει τις κινήσεις των πολιτών της που βρίσκονται σε άλλες χώρες. Το βασίλειο έχει αντιμετωπίσει κατηγορίες ότι τοποθετεί ισχυρά spyware στις συσκευές, για να έχει πρόσβαση στα τηλέφωνα των αντιφρονούντων και των ακτιβιστών, ώστε να παρακολουθεί τις δραστηριότητές τους. Ένα τέτοιο παράδειγμα, αποτελεί και ο αρθρογράφος της Washington Post, Jamal Khashoggi, ο οποίος δολοφονήθηκε από πράκτορες του Σαουδαραβικού καθεστώτος. Το βασίλειο φέρεται να τοποθέτησε επίσης κατασκόπους στο Twitter για να επιβλέπει τους επικριτές του καθεστώτος

Σύμφωνα με το Guardian, μια κρυφή μνήμη δεδομένων που ανακαλύφθηκε, περιείχε εκατομμύρια τοποθεσίες πολιτών της Σαουδικής Αραβίας για μια περίοδο τεσσάρων μηνών που ξεκίνησε τον Νοέμβριο. Τα αιτήματα εντοπισμού θέσης έγιναν από τους τρεις μεγαλύτερους φορείς κινητής τηλεφωνίας της Σαουδικής Αραβίας, που πιστεύεται ότι είναι υπό την αιγίδα της κυβέρνησης. Για να βρουν τις τοποθεσίες εκμεταλλεύονταν τις αδυναμίες του SS7.

Το SS7 είναι ένα σύνολο πρωτοκόλλων, για τη δρομολόγηση και την κατεύθυνση κλήσεων και μηνυμάτων μεταξύ δικτύων. Έτσι ένας πελάτης της T-Mobile για παράδειγμα, μπορεί να καλέσει ένα τηλέφωνο του δικτύου AT & T ή να στείλει μήνυμα σε έναν φίλο του που έχει Verizon, ακόμη και όταν βρίσκονται σε άλλη χώρα. Σύμφωνα με τους ειδικούς ασφαλείας, οι επιτιθέμενοι εκμεταλλεύονται ευπάθειες σε αυτά τα πρωτόκολλα ώστε να αποκτούν πρόσβαση στις κλήσεις και στα μηνύματα των χρηστών του δικτύου. Το SS7 επιτρέπει επίσης να εντοπίζεται η θέση των συσκευών σε πυκνοκατοικημένες πόλεις, κάνοντας μια αίτηση παροχής πληροφοριών για τους συνδρομητές (PSI). Αυτά τα αιτήματα PSI, συνήθως διασφαλίζουν ότι ο χρήστης χρεώνεται σωστά για τις υπηρεσίες που χρησιμοποιεί. Όταν ωστόσο οι αιτήσεις γίνονται σε απροσδιόριστο χρόνο ή σε μεγάλο αριθμό, υποδηλώνουν ότι μπορεί να παρακολουθούν την τοποθεσία του χρήστη.

Ωστόσο παρά τις προειδοποιήσεις των ειδικών σχετικά με την ύπαρξη ελαττωμάτων, οι μεγαλύτεροι πάροχοι δικτυών κινητής τηλεφωνίας της Αμερικής δεν έχουν κάνει και πολλά για να αντιμετωπίσουν την κατάσταση.   

Ένας δημοκρατικός νομοθέτης κατηγορεί την Ομοσπονδιακή Επιτροπή Επικοινωνίας για την αποτυχία να αναγκάσει τους παρόχους κινητής τηλεφωνίας να αναλάβουν δράση. Ένας εκπρόσωπος της FCC, του οργανισμού που είναι υπεύθυνος για τη ρύθμιση των δικτύων κινητής τηλεφωνίας, δεν απάντησε σε αίτημα για σχολιασμό.

Διόρθωση του SS7

Η επίλυση των προβλημάτων που υπάρχουν στο SS7 δεν πρόκειται να συμβεί μέσα σε μία μέρα. Ωστόσο χωρίς επίβλεψη και συνεχή πίεση από κάποιον ελεγκτή, οι πάροχοι δεν θα προχωρήσουν μόνοι τους σε αυτές τις αλλαγές.

Οι ειδικοί λένε ότι τα ίδια τείχη προστασίας που έχουν τεθεί σε εφαρμογή από τους φορείς κινητής τηλεφωνίας μπορούν να φιλτράρουν ενδεχομένως και την κακόβουλη κίνηση και να αποτρέπουν κάποιες καταχρήσεις. Όμως, μια ομάδα εργασίας της FCC, η οποία επιφορτίστηκε με την κατανόηση των κινδύνων που θέτουν τα ελαττώματα SS7 το 2016, αναγνώρισε ότι η συντριπτική πλειοψηφία της κυκλοφορίας SS7 είναι νόμιμη. Με άλλα λόγια, αυτή η πρόταση δεν αποτελεί εφικτή λύση, εάν εμποδίζει και τα πραγματικά αιτήματα των παρόχων.

Οι πάροχοι δικτύων κινητής τηλεφωνίας είναι κάτι λιγότερο από πρόθυμοι να προχωρήσουν άμεσα σε επιδιορθώσεις των θεμάτων του SS7 τους. Μόνο η AT & T υπέβαλε ένα σχόλιο, λέγοντας στο The Guardian ότι είχε πραγματοποιήσει “ελέγχους ασφαλείας για να εμποδίσει μηνύματα εντοπισμού τοποθεσίας από συνεργάτες περιαγωγής”. Σε ποιο βαθμό παραμένει ασαφές, όπως και εάν τα μέτρα αυτά θα βοηθήσουν. Λίγοι εμπειρογνώμονες έχουν εκφράσει την πίστη τους σε νεότερα συστήματα όπως το Diameter, ένα παρόμοιο πρωτόκολλο δρομολόγησης για τα 4G και 5G δίκτυα, δεδομένου ότι υπήρξε ήδη μια σειρά τρωτών σημείων στο νεότερο σύστημα.

Οι κρυπτογραφημένες εφαρμογές end-to-end, όπως το Signal και το WhatsApp, έχουν δυσκολέψει τους κατασκόπους να παρακολουθούν κλήσεις και μηνύματα. Αλλά ακόμα κι αυτές δεν είναι απόλυτα ασφαλείς.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS