Ο Kevin Briggs, αξιωματούχος της Αμερικανικής Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών, δήλωσε στην Ομοσπονδιακή Επιτροπή Επικοινωνιών (FCC), μια ρυθμιστική αρχή, νωρίτερα φέτος ότι υπήρξαν «πολυάριθμα περιστατικά επιτυχημένων, μη εξουσιοδοτημένων προσπαθειών», όχι μόνο για την κλοπή δεδομένων θέσης και την παρακολούθηση φωνητικών και γραπτών μηνυμάτων στην Αμερική, αλλά και για την παράδοση κατασκοπευτικού λογισμικού (λογισμικό που μπορεί να καταλάβει ένα τηλέφωνο) και την επιρροή των Αμερικανών ψηφοφόρων από το εξωτερικό μέσω γραπτών μηνυμάτων. Τα σχόλια αναφέρθηκαν για πρώτη φορά πρόσφατα από το 404 Media, έναν ιστότοπο που καλύπτει την τεχνολογία.

Οι παραβιάσεις αφορούσαν ένα ασαφές πρωτόκολλο γνωστό ως Signalling System 7 (SS7). Το SS7 αναπτύχθηκε τη δεκαετία του 1970 για να επιτρέπει στις εταιρείες τηλεπικοινωνιών να ανταλλάσσουν δεδομένα για τη δημιουργία και τη διαχείριση κλήσεων και σήμερα έχει περισσότερους χρήστες από το Διαδίκτυο. Η ασφάλεια δεν αποτελούσε πρόβλημα όταν το SS7 πρωτοεμφανίστηκε, επειδή μόνο λίγοι φορείς σταθερής τηλεφωνίας μπορούσαν να αποκτήσουν πρόσβαση στο σύστημα, κάτι που άλλαξε στην εποχή της κινητής τηλεφωνίας. Το SS7 και ένα νεότερο πρωτόκολλο, το Diameter, έγιναν ζωτικής σημασίας για ένα ευρύ φάσμα εργασιών, συμπεριλαμβανομένης της περιαγωγής. Σύμφωνα με το υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ, το SS7 αποτελεί ιδιαίτερο κίνδυνο επειδή υπάρχουν «δεκάδες χιλιάδες σημεία εισόδου παγκοσμίως, πολλά από τα οποία ελέγχονται από κράτη που υποστηρίζουν την τρομοκρατία ή την κατασκοπεία».

Οι ειδικοί σε θέματα ασφάλειας γνώριζαν για περισσότερα από 15 χρόνια ότι το πρωτόκολλο ήταν ευάλωτο με διάφορους τρόπους. Το 2008 ο Tobias Engel, ένας ερευνητής ασφαλείας, έδειξε ότι το SS7 θα μπορούσε να χρησιμοποιηθεί για τον εντοπισμό της θέσης ενός χρήστη. Το 2014 Γερμανοί ερευνητές προχώρησαν ακόμα περισσότερο, αποδεικνύοντας ότι θα μπορούσε να αξιοποιηθεί για την παρακολούθηση κλήσεων ή την καταγραφή και αποθήκευση δεδομένων φωνής και κειμένου. Οι επιτιθέμενοι θα μπορούσαν να προωθήσουν δεδομένα στον εαυτό τους ή, αν βρίσκονταν κοντά στο τηλέφωνο, να τα συλλέξουν και να πουν στο σύστημα να τους δώσει το κλειδί αποκρυπτογράφησης. Οι υπηρεσίες πληροφοριών γνώριζαν το θέμα για πολύ μεγαλύτερο χρονικό διάστημα, έτσι όσοι γνώριζαν το εκμεταλλεύτηκαν.

Τον Απρίλιο του 2014 Ρώσοι χάκερς χρησιμοποίησαν το SS7 για να εντοπίσουν και να κατασκοπεύσουν πολιτικά πρόσωπα της Ουκρανίας. Το 2017 μια γερμανική εταιρεία τηλεπικοινωνιών παραδέχθηκε ότι είχαν κλέψει χρήματα από πελάτες της, υποκλέπτοντας κωδικούς πιστοποίησης που αποστέλλονταν από τράπεζες μέσω μηνυμάτων. Το 2018 μια ισραηλινή ιδιωτική εταιρεία πληροφοριών χρησιμοποίησε έναν φορέα κινητής τηλεφωνίας στα βρετανικού εδάφους Channel Islands, για να αποκτήσει πρόσβαση στο SS7 και κατ’ επέκταση σε χρήστες σε όλο τον κόσμο. Αυτή η διαδρομή πιστεύεται ότι χρησιμοποιήθηκε για τον εντοπισμό μιας πριγκίπισσας των Εμιράτων που απήχθη από τα Ηνωμένα Αραβικά Εμιράτα το 2018. Το 2022 ο Cathal McDaid της ENEA, μιας σουηδικής εταιρείας τηλεπικοινωνιών και κυβερνοασφάλειας, εκτίμησε ότι Ρώσοι χάκερς παρακολουθούσαν και άκουγαν εδώ και καιρό Ρώσους αντιφρονούντες στο εξωτερικό με τον ίδιο τρόπο.

Στις αρχές του 2014 Κινέζοι χάκερς έκλεψαν τεράστιες ποσότητες δεδομένων από το Office of Personnel Management, την κυβερνητική υπηρεσία που διαχειρίζεται την ομοσπονδιακή δημόσια διοίκηση της Αμερικής. Τα πιο ευαίσθητα δεδομένα ήταν αρχεία εξουσιοδοτήσεων, τα οποία περιέχουν άκρως προσωπικά στοιχεία για τους κυβερνητικούς υπαλλήλους. Παράλληλα, κλάπηκαν και αριθμοί τηλεφώνων. Σύμφωνα με διαφάνειες που δημοσίευσε το υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ, από τις οποίες είχαν αφαιρεθεί κάποιες πληροφορίες, οι Αμερικανοί αξιωματούχοι παρατήρησαν «ανώμαλη κίνηση στο SS7» εκείνο το καλοκαίρι, η οποία πίστευαν ότι σχετιζόταν με την παραβίαση.

Τα σχόλια του κ. Briggs προς την FCC αποτυπώνουν το εύρος του προβλήματος του SS7 με μεγαλύτερη σαφήνεια. «Συνολικά», είπε, τα περιστατικά που ανέφερε ήταν «μόνο η κορυφή του παροιμιώδους παγόβουνου των εκμεταλλεύσεων εντοπισμού και παρακολούθησης με βάση το SS7 και τo Diameter, που έχουν χρησιμοποιηθεί με επιτυχία». Αυτό είναι μια υπενθύμιση ότι ακόμα και τη στιγμή που οι μη κρυπτογραφημένες τηλεφωνικές κλήσεις και τα μηνύματα κειμένου είναι όλο και πιο σπάνια, η ραχοκοκαλιά των δικτύων κινητής τηλεφωνίας παραμένει θλιβερά ανασφαλής. Οι φορείς εκμετάλλευσης δικτύων κινητής τηλεφωνίας μπορούν να μπλοκάρουν ορισμένες από αυτές τις επιθέσεις, αλλά οι περισσότεροι δεν έχουν λάβει τις κατάλληλες προφυλάξεις, λένε οι ειδικοί.

Οι χρήστες τηλεφώνων μπορούν να προστατευτούν από πιθανή υποκλοπή μέσω του SS7 (αλλά όχι από τον εντοπισμό θέσης) χρησιμοποιώντας κρυπτογραφημένες εφαρμογές από άκρο σε άκρο, όπως το WhatsApp, το Signal ή το iMessage. Ωστόσο και αυτές μπορούν να παρακαμφθούν από κατασκοπευτικό λογισμικό που μπορεί να «φυτευτεί» σε μια συσκευή, καταγράφοντας τις πληκτρολογήσεις και την οθόνη. Τον Απρίλιο η Apple προειδοποίησε χρήστες σε 92 χώρες ότι είχαν γίνει στόχος μιας «επίθεσης μισθοφορικού spyware». Την 1η Μαΐου η Διεθνής Αμνηστία δημοσίευσε μια έκθεση που έδειχνε πώς «ένα σκοτεινό οικοσύστημα προμηθευτών, μεσιτών και μεταπωλητών παρακολούθησης» από το Ισραήλ, την Ελλάδα, τη Σιγκαπούρη και τη Μαλαισία είχε προμηθεύσει με ισχυρό κατασκοπευτικό λογισμικό κάμποσες κρατικές υπηρεσίες στην Ινδονησία. Τα περιστατικά αυτά, με τη σειρά τους, δεν είναι παρά μόνο η κορυφή του παγόβουνου.

Πηγή: The Economist