英國隱私權倡議團體 Privacy International,最近一期的電子報主題應著時事、環繞美國總統川普到英國訪問之行,見縫插針地宣傳隱私權課題。PI 重點在於主張人民實踐集會抗議權利之際,其實隱私權的重要性也不遑多讓,例如警方利用偵察無人機/社交帳號資料探堪/ MISI catcher/ 人臉辨識等科技來監控抗議者的行動行踪。當隱私不保隨時有位老大哥在身後監控一舉一動,又如何能安心實踐其它作為一個人所享有的其它基本權利?

其中提到的 IMSI catchers 問題,其背後帶出了過去近廿年,當行動電話在日常生活上的使用已大幅超越了傳統電話線;當網路的0110電子位元傳送的方式從「早期」有形具體的電纜、電絞線,變成了靠空氣中看不到的無線電訊號來傳送,這又會有什麼安全與隱私上的風險呢?基於此好奇,簡單地查找了一點關於行動數據年代中,有關資訊安全與用戶通訊隱私的入門知識,希望透過這些整理,讓一般使用者能更清楚地了解行動通信與行動數據傳輸的風險威脅。

根據美國加洲消費者權利倡議組織 Privacy Rights Clearinghouse 的資料,隨著智慧型手機成為現代人生活隨身不可分割的一部份:親朋好友的姓名電話、通話通訊記錄、去過哪裏的地理位置記錄、手機瀏覽器打開過什麼網址內容、利用手機拍的照片影片甚致是滑動觸控螢幕的習性,這些自以為是私人私密的資料,都成了可以被[他人]追蹤監控的素材。想想這些發生在你最親密的電子設備上關於它的主人的大量數據,你是否還能作自己真正的主人呢?

以提供 2G/3G/4G 手機連網的電信業者為例,通常他們會記錄(但不限於)下列資料:

  • 用戶來電或撥打電話的通信記錄,其包含這些來往通信的電話號碼,通話時段與時間長短。
  • 收到或發出的簡訊,包含其電話門號資訊
  • 用戶查看電子郵件以及訪問互聯網的時間與次數
  • 透過與電信基地台之間的訊號傳送接收,可判斷手機當前的地理位置,這個地理資訊可以保留作成長期的行踪記錄。

這裏得再稍微插入一點點行動通信的小常識

行動裝置若是透過電信業者提供的數據連線到網際網路,所走的靠是空氣中看不見的無線電傳輸,簡單來說業者搭建的基地台cellular towers 即作為用戶手機與其它市話或手機以及互聯網的接入中介點。通常行動通訊設備為了更佳的通話品質或連線速度,會不斷地向鄰近地區的基台發出訊號,以順利地在移動的過程中無縫地保持通話或連線。

IMSI/IMEI IMSI,International Mobile Subscriber Identity,中文譯為「國際移動用戶識別碼」,通常 IMSI 是附在SIM卡上頭,每一張 SIM 卡各有一個獨特識別碼,以讓用戶可以與其他行動網路互通。常容易與之搞混的是 IMEI, International Mobile Equipment Identity,則是手機設備序號,其為依附在每一支手機所獨有的辨別碼,算是每一支手機硬體的身份證。換言之,每一支手機都有自己的IMEI,但如未裝入SIM卡則無法對外通話。待接上 SIM 卡後,業者的基地台才能在行動用蜂巢式網路中識別此手機設備是否屬於同一家網路服務系統。

上個月美國眾議院科學太空與科技委員會 Committee on Science, Space, and Technology 底下的監督工作組(Subcommittee on Oversight),召開了一場聽證會,邀請各方專家了解 IMSI Catcher 對於行動數據與用戶隱私的威脅,從 IMSI catcher 的討論就可略知當前行動通信基礎設施協議的一些弱點缺陷

行動通信基礎設施的弱點缺陷

受邀出席作證的三位資訊安全與通訊技術專家都共同指出,行動通信在一開始協議設計時,即透過基地台所發送的無線電訊號與手機設備互通,並隨著蜂巢技術的發展,過去只能用來通話的行動設備,已能滿足高速網路連線與大量數據流量傳輸的需求,但技術發展的背後並不是無安全上的風險代價。

威脅一 Cell-Site Simulators 偽基地台模擬器 又常稱為 “IMSI catchers”, “Stingrays” 或 “Dirtboxes”。這類設備利用行動通信協議缺陷,模倣手機基地台發出訊號,騙取手機傳送地點資訊。這類攻擊又可大至分為以下幾種:

  1. 2G 通信設備先天系統上的弱點:早年第二代行動通信(2G),其傳輸的簡訊內容,通話內容未經加密都可輕易被擱截,破解。雖然許多地方已更新使用更為先進的3G/4G LTE,但部份偏遠地區行動基礎設施若未能與時更新,通信時若找不到 4G/3G 發送的無線電傳輸,則只好降低使用無加密的2G通訊(此為美國例子,我不太確定台灣的情況如何),這也成為新舊世代設備器材與協議並容上產生的安全課題。
  2. 利用 3G/4G 數據通信未經驗證的網路設定缺陷進行攻擊,透過指令辨別鄰近區域裏的行動設備,可準確地追踪某一特定用戶使用軌跡,包括何時打了電話、傳送訊息,並能追蹤手機所在位置。
  3. 另一類 3G/4G 數據通信攻擊手法則是利用 毫微微蜂巢式基地台(femtocells) ,這類硬體設備通常是無線網路硬體製造廠商供應作為提高室內或鄉下地區的無線覆蓋範圍,但研究人員實驗,顯示這類設備可以被用來作為手機站點模擬器(偽基地台),用來攔截隨近區域裏手機的通話、簡訊和通信數據。
  4. 欺騙電信基地台,讓他們相信此手機站點模擬器是其漫遊網路當中的一個數據交換伙伴,偽基地台引誘取得電信業者信任授權,然後成功地化身為一個漫遊的蜂巢塔台,誤以為是「合法」電信塔台的手機會把訊號送傳送給偽基地台,這時就可以來進行竊聽與定位追蹤。

威脅二 SS7 and Diameter 協議缺陷 第 7 號發信系統 Signaling System 7 (SS7) and Diameter 是一種被廣泛應用在公共交換電話網、蜂窩通訊網路等現代通訊網路的共通頻道信號系統。不同國家的電信運營商之間都會採用第7號發信系統控制運營商之間業務交換的過程,以達成電信業務的互聯互通,或是在自家通訊網路裡面使用第7號發信系統實現計費、漫遊或者其他電信業務,詳見維基百科。但這個通信協議和上述的 2G 行動協議有著類似的問題,並未考量安全驗證課題,因此攻擊者可以假冒合法的業者以攔取用戶在不同電信業者漫游時的通話, 簡訊與地理資訊,這類威脅與前述為基地台最大的差別在於它並不需要透過硬體佈置在欲監控對象的鄰近地區。雖然對此類威脅早已發展出有效防禦對策,但根據美國國土安全部 DHS 於2017年關於行動設備安全的研究,憂心美國電信營運商並未完全落實防堵、拒絕未經驗證、不可信賴的 SS7/Diameter 指令。

威脅三. 設備的安全更新 手機就像一部多功能方便的隨身電腦,需要定期更新作業系統與軟體,及早修補被發現的安全漏洞,防止駭客或敵對人士有機可趁地利用系統漏洞地進行破壞。 之前寫過二篇談 ISP 網路連線服務商與用戶資料收集、個人隱私的介紹。若還記得當時大量介紹 Swire Paper 基於 2014年網路生態與技術進展的分析,主張 ISP 對末端用戶的影響力已大為降低。該文當中提及手機業者的影響力曰益重大,並作了初步分析。

威脅四. 無法驗證的 Caller ID 來電顯示 手機上的 Caller ID (來電顯示),其仰賴來電者是否值得信任,因為並無可靠來驗證來電者的號碼是偽裝還是真實。故技術上駭客可以輕易地冒充合法的電話號碼來進行詐騙或騷擾。例如機器人自動電話 robocall 即是利用無法查驗的來電顯示,偽裝成看起來合法、可信任的號碼,但實際上這類自動電話通常來自其它國家,以躲避當地執法機關的眼線。

基於上述行動數據通信發現已久的安全弱點,專家咸建議:

  • 電信業者必須定期進行資訊安全稽核,認真提出因應偽基地台與 SS7 and Diameter 攻擊的對策。

  • 電信營運商與硬體設備製造商應對於 2G 偽基地台攻擊提出防範,例如若用戶當前連線使用的是 2G 網路,則手機上可以出現提醒警告,或是提供可關閉 2G 連線的選項。

  • 針對第 7 號發信系統 SS7 and Diameter 弱點,電信業者應即時佈置必要的硬體防備來阻斷此類攻擊。

  • 手機作業系統的業者,硬體製造商要能承諾在合理的售後期間,仍願意好好投助軟體軔弱點的補救改善,減少仍有人在使用中的軟硬體變成乏人維護安全的棄兒,而讓消費者曝露著高度的安全風險中。如果廠商已無法提供持續安全更新,則應事前明確地通知用戶。

  • 電信業者應對偽裝來電顯示的情況,提出明確解決此問題的時程計畫,強化推動可驗證的來電顯示。

至於本文一開頭提到 Privacy International 向來擔憂:警方(執法者)使用一些入侵性科技進行監控或情搜的問題,日後有機會再來探討台灣這方面資訊不透明與程序黑箱的情況吧。