- 不要再用手机接收验证码了
这不是新的警告,您应该从很多年前就开始注意到这一危险了;并不是因为这种监视技术在全球部署才开始关注这件事。
去年底安全研究人员发现的证据表明,欧洲、中东、非洲、亚洲、和澳大利亚的多个政府机构已经购买了一种监视技术,这种技术可以远程跟踪手机的位置,并拦截可超出本国国界的通信。
多伦多大学蒙克全球事务学院的数字权利监督机构公民实验室发表了一份报告,描述它发现了一家名为 Circles 的公司在25个国家部署手机间谍技术的技术证据。
Circles在2014年与全球最臭名昭著的政府恶意软件供应商NSO合并,销售通过SS7电话网络追踪手机的能力。SS7网络和相关协议用于漫游,但有安全漏洞,允许监控公司和有经济动机的任何犯罪分子利用它。在这里看到具体说明《什么是 SS7,据称中国正用它来窥探特朗普的手机?》。
公民实验室的报告中提出的证据表明该监视技术的部署与各个国家有关。这则消息凸显了SS7监控技术似乎被广泛采用,该技术依赖于世界各地电信供应商使用的SS7网络的基本缺陷,几十年来一直是网络安全问题。公民实验室的报告还显示,一些曾对人权维护者使用监控技术的国家可能也正在购买这种技术。
“你可以从任何国家和在世界上任何地方追踪任何电话号码”,一位直接了解 Circles 技术的人士说。该消息来源是关于SS7的一般说法,而不是关于任何特定 Circles 客户的能力。主板允许该消息人士匿名,因为根据保密协议,他们无权向媒体谈及 Circles 问题。
根据公民实验室的调查,研究人员怀疑 Circles 的客户包括欧洲政府,如比利时和丹麦。值得注意的是,其中一个疑似客户包括五眼情报伙伴关系的成员:澳大利亚。
在非洲,公民实验室指出了博茨瓦纳、津巴布韦和肯尼亚。在南美洲,潜在客户包括萨尔瓦多、智利和洪都拉斯。
公民实验室在其报告中写道:“上述许多已经获得和/或部署了Circles监视技术的政府客户,在侵犯人权和技术监控能力方面都有着糟糕的记录。许多政府缺乏公共透明度和问责制,对其维稳机构的活动的独立监督极少或完全没有。”
报告中提到的大多数政府都没有回应通过执法部门和情报机构或大使馆发出的评论请求。爱沙尼亚外国情报局拒绝对其能力发表评论,澳大利亚联邦警察拒绝发表评论,丹麦军队说它无法在公民实验室的报告发表前及时提供答复。马来西亚驻华盛顿特区大使馆拒绝发表评论,称 “未经[首都]事先批准”。
公民实验室说,它首先通过查询 Shodan 和检查 Circles 拥有的一系列IP地址来确定可疑用户。这些结果提到了网络安全公司 Check Point 的一款防火墙,并包含一个与 Circles 有关的域名。公民实验室说,它随后搜索了其他数据集,寻找该域名的出现。公民实验室随后确定了其他明显的 Circles 安装,在某些情况下包括诸如 “client-circles-thailand”,或其他防火墙工具,如墨西哥的防火墙为 “Mercedes”,阿布扎比的 “Aston”,以及迪拜的 “Dutton”。
在某些情况下,公民实验室认为它可能已经确定了参与部署 Circles 的特定机构。报告称,在一个案例中,Check Point 的防火墙将客户识别为 “智利PDI”,即该国的主要执法机构。报告说,在另一个案例中,WHOIS数据包括一个与丹麦军队有关的电话号码。
Check Point 的公共关系主管 Ekram Ahmed 在一封电子邮件中说,“Circles不是 Check Point 的客户或合作伙伴。此外,我想强调的是,任何网络服务上显示的任何可识别数据都是由拥有它的网络管理员配置的,而不是由 Check Point 配置。因此,我们不能确认Shodan上显示的名字与有关实体之间的联系。”
SS7网络的根本问题是,它不能验证谁通过它发送了一个请求。这意味着,获得网络访问权的其他各方,如 Circles 这样的监控供应商或犯罪分子,都有可能像其他人一样找到目标手机的位置或拦截您的验证码短信。多家公司确实提供了针对此类攻击的防御措施,但SS7仍然普遍容易被利用。
熟悉 Circles 的消息人士解释说,该公司为客户提供了通过SS7追踪当地手机的能力,同时也提供了追踪其他国家手机的能力 — — 需要额外付费。该消息人士说,通常客户会购买更昂贵的选项,以便能够跨国追踪任何他们想要的任何人。
一位NSO的前雇员之前告诉主板,NSO和 Circle 的产品之间的结合有问题。
这位前雇员说:“我们的战术解决方案从来没有真正发挥作用[……],因为与Circles的整合很糟糕” 。主板允许他们匿名,因为他们担心向记者发表意见会遭到公司的报复。“我们的想法是,总和将大于其部分。他们将增加攻击载体,但实际上,在整合方面很少有成功的案例。他们夸大了他们的系统能力”,该消息人士说。但是他也说,Circles 在墨西哥的地理定位系统工作得 “非常好”。
警报:针对高风险用户的建议
无论您是记者、人权捍卫者、活动家,还是政府雇员,或者任何手机用户,这一电信网络的漏洞都可以使对手拦截您的验证短信并入侵您的账户。
如果您认为自己会由于身份或您所做的事而面临来自国家政府的监视威胁,强烈建议您在所有可能的账户中立即转移此前基于短信的双因素身份认证。改用安全密钥。
以下是如何为您的一些账户使用安全密钥的提示:
1、安全密钥可以从多家公司购买,请确保您的安全密钥与您的手机、笔记本电脑和台式电脑兼容。您也可以买一把带NFC(近场通信)的钥匙,以无线方式连接到您的手机。
2、在设置钥匙之前,请首先熟悉丢失钥匙的程序,以确保您不会把自己锁在外面。最简单的选择是至少有一把备用钥匙,以备丢失主钥匙时使用,并同时注册主钥匙和备用钥匙。大多数网站都提供恢复机制,以防您丢失钥匙,包括认证器应用程序、基于短信的恢复密钥和备份代码(您可以在某个地方安全存储的一次性恢复代码)。其中短信的就不要用了,其他的都可以。
3、一些支持安全密钥的网站和服务包括 1Password、Dropbox、Facebook、谷歌、微软和 Twitter。要查看哪些服务提供安全密钥作为认证选项,请在这个 2FA 列表中的 “硬件令牌” 下寻找一个复选标记。
您需要将安全密钥与您想使用它的每个账户配对。在电脑上做这件事比较容易。有些服务不允许您使用他们的移动应用程序注册密钥,尽管一旦设置好,您就可以在应用程序中使用您的密钥了。
其他服务只允许您用浏览器使用密钥,而不是用移动应用程序。在这种情况下,他们可能会要求您提供验证器代码。如果您还没有,一定要用身份验证器应用程序设置多因素认证,以防您遇到无法在移动设备上使用钥匙的情况。
4、您可能不需要经常使用硬件钥匙。有些网站要求您在每次登录时都使用它,而其他网站则可能在您修改密码、从新电脑登录、或更改账户信息时要求您使用。所以要确保把它放在容易拿到的地方,比如钥匙链上。有些钥匙可以不引人注意地放在您的笔记本电脑或台式机的USB端口中。
建议将您的备份钥匙存放在安全的地方!如上锁的保险箱。
此外,对于流行的应用程序,如 Signal、WhatsApp 和 Telegram 上的账户,强烈建议您立即为您的账户启用安全PIN码或密码。
📌 不要错过,关于如何挑选合适您的密码管理器。
此外,《如何才能安全地使用端对端加密(比如Signal):准则》。⚪️
在这里看到报告《Running in Circles》