# 全球电信网络遭遇 SS7 协议漏洞大规模监控

## 报告概述

Citizen Lab 发布重磅调查报告《Bad Connection》，揭露两个隐蔽监控组织（代号 STA1 和 STA2）利用全球移动电信网络的 SS7 和 Diameter 协议漏洞，对高价值目标实施长达数年的无痕定位追踪。

## 攻击方式

攻击者无需在目标设备上植入恶意软件，而是通过以下手段实现监控：

1. **信令协议攻击：** SS7 和 Diameter 协议在设计之初假定网络环境可信，**缺乏身份验证、完整性检查和加密机制**，使得攻击者可以伪造合法运营商身份发送查询指令。
2. **SIM 卡攻击：** STA2 向目标手机发送隐藏 SIM 命令（SIMjacker 技术），将手机变为隐蔽的定位信标。
3. **合法身份伪装：** 攻击者复用真实的运营商标识符，伪装成合法运营商发起查询。

## 攻击规模

- **STA1：** 自 2022 年起累计发起 **500+ 次**位置追踪尝试
- **STA2：** 自 2022 年起累计发起 **超过 15,700 次**位置查询

## 涉及的运营商与地区

攻击链路涉及英国、以色列、中国、泰国、瑞典、意大利、列支敦士登、柬埔寨、莫桑比克、乌干达、卢旺达、波兰、瑞士、摩洛哥、纳米比亚、莱索托、泽西岛等多个国家和地区的运营商。

其中三个网络被反复用作入口/中转节点：
1. **019Mobile（以色列）**——Diameter 查询首跳代理
2. **Airtel Jersey / Sure（海峡群岛）**——自 2022 年起活跃
3. **Tango Networks（英国）**——标识符被持续使用

## 技术细节

攻击者使用的主要命令：

| 协议 | 命令 | 用途 |
|------|------|------|
| SS7 | provideSubscriberInfo | 获取位置数据（Cell ID、LAC、MCC、MNC） |
| SS7 | anyTimeInterrogation | 位置追踪 |
| Diameter | Insert-Subscriber-Data-Request (IDR) | 4G 定位（TAI、ECGI） |
| Diameter | Authentication-Information-Request (AIR) | 网络探测 |

## 根源问题

Citizen Lab 指出，问题的根源在于 SS7 和 Diameter 协议"生而不安全"——这些协议设计于运营商之间互信的时代。4G/5G 的安全增强功能在许多网络中并未实际部署。运营商之间的互联流量筛查（Interconnect Traffic Screening）严重不足，使攻击者能够通过受信任的运营商路径路由监控流量。

## 行业影响

这一发现揭示了全球电信基础设施中的系统性安全缺陷。虽然 5G 标准在安全方面有所改进，但 SS7 和 Diameter 的后向兼容性问题意味着这些漏洞在可预见的未来仍将持续存在。

---

## 参考链接

- [Citizen Lab: Bad Connection - Uncovering Global Telecom Exploitation](https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/)