Viktiga takeaways
- Signaleringssystem nr 7 (SS7) är ett föråldrat telefoniprotokoll som kan utsätta din integritet för cyberhot och övervakning.
- SS7-sårbarheter har utnyttjats av kriminella för att tömma bankkonton, regeringar för att spåra mobiltelefonanvändare och underrättelseföretag för att spionera på människor över hela världen.
- För att skydda dig från SS7-sårbarheter, använd säkra meddelandeappar med end-to-end-kryptering som Signal eller WhatsApp, eftersom de erbjuder bättre integritet och säkerhet än traditionella SMS och telefoner tjänster.
Har du någonsin hört talas om signalsystem nr 7 (SS7)? Det har du förmodligen inte, men du använder det fortfarande dagligen, och det gör alla du känner också. Problemet är att denna teknik är mycket föråldrad och mycket osäker. Det finns dock alternativ till att använda SS7, och det bästa av allt är att de är gratis.
Vad är SS7 och varför är det osäkert?
Signaleringssystem nr. 7 är en uppsättning telefoniprotokoll som gör det möjligt för telekommunikationsnätverk att kommunicera med varandra. På sätt och vis är det ett kommunikationssystem som låter telefonnät utbyta viktig information. Delvis, tack vare denna teknik, kan du ringa telefonsamtal, skicka textmeddelanden och använda liknande tjänster.
SS7 introducerades först på 1970-talet och distribuerades i AT&T-nätverket i USA. Kort därefter blev det standardiserat för internationellt bruk och ersatte äldre system i andra länder världen över. På 1990-talet fick SS7 en mer utbredd användning och blev ryggraden i global telekommunikation.
Nummerpresentation, vidarekoppling och Short Messaging Service (SMS) introducerades också på 1990-talet samtidigt som mobilnäten expanderade globalt. SS7-integration spelade en nyckelroll i denna process, och vårt samhälle har inte varit sig likt sedan dess. Få av oss kan nu föreställa oss att leva i en värld där det är omöjligt att skicka ett sms till en vän som använder en annan operatör, och det är till stor del tack vare den utbredda användningen av denna teknik.
Vad är problemet med SS7 då? Nåväl, SS7 är föråldrad och osäker, en kvarleva från när digitala hot varken var så sofistikerade eller så vanliga som idag. Sedan mitten av 2000-talet har säkerhetsbristerna varit uppenbara, och de har bara blivit mer uttalade med tiden. Detta är inte en fråga om spekulationer eller åsikter, och det är inte heller en fråga som bara påverkar ett specifikt nätverk, enhet eller individ. Dessa sårbarheter är inneboende i SS7 själv.
Hur SS7-sårbarheter exponerar din integritet
När tekniken och cyberbrottsligheten utvecklades kämpade SS7 för att hänga med. Dussintals högprofilerade incidenter och säkerhetsintrång har registrerats över hela världen under de senaste åren.
Till exempel, redan 2017, utnyttjade en grupp oidentifierade brottslingar säkerhetshålen i SS7 för att tömma pengar från människors bankkonton. De gjorde detta genom att kringgå tvåfaktorsautentisering som vissa banker använde för att förhindra obehörig åtkomst och skydda kunder, enligt Ars Technica. Vid den tiden uppmanade USA: s kongressrepresentant Ted Lieu den federala regeringen att åtgärda dessa "förödande" brister, säger att det är "oacceptabelt att FCC och telekomindustrin inte har agerat tidigare för att skydda vår integritet och finansiella säkerhet."
Liknande, Washington Post rapporterade 2014 att en SS7-sårbarhet tillåter statliga enheter att spåra mobiltelefonanvändare i realtid. En insider berättade för butiken att "dussintals" länder gjorde detta, medan säkerhetsexperter noterade att ingenting hindrar hackergrupper och liknande organisationer från att göra detsamma. 2020 avslöjade en whistleblower att Saudiarabien utnyttjade samma sårbarheter för att spåra sina medborgare i USA, per Väktaren.
A 2020 Haaretz Under tiden fann undersökningen att det privata israeliska underrättelseföretaget Rayzone Group missbrukade bristerna i SS7 för att spåra människor runt om i världen på uppdrag av sina klienter. Ungefär ett år senare utnyttjade VD: n för ett schweiziskt teknikföretag fokuserat på automatiserad sms samma sårbarheter för att spionera på människor, enligt Bureau of Investigative Journalism.
Tänk på att detta bara är toppen av ett isberg: det är uppenbart att SS7 är osäker och extremt sårbar för exploatering. Det här är varför du ska inte använda SMS för att skydda din integritet – anta att allt du skickar via text kan fångas upp och läsas av din regering eller nästan vem som helst med rätt verktyg och expertis.
Men den verkliga frågan är: varför görs ingenting för att åtgärda SS7-sårbarheter? Operatörer och mobilnät är säkert medvetna om dem; säkerhetsexperter har känt till dem i evigheter, liksom politiker. Faktum är att vissa har talat öppet om dem, som Lieu, och uppmanat tillsynsorgan att vidta åtgärder. Ändå har ingenting förändrats. När Registret rapporterade om detta, drog de slutsatsen att "kanske Amerikas underrättelsetjänster gillar idén om, för dem, lätt komprometterade nätverk."
Det bör dock noteras att detta bara är en möjlig förklaring som bara delvis kan svara på frågan. SS7 är en äldre infrastruktur, och att göra genomgripande förändringar skulle sannolikt kräva internationellt samarbete och införande och implementering av ny teknik, vilket alla skulle kräva mycket tid och ekonomiskt investering. Kort sagt, incitamenten att göra de nödvändiga förändringarna finns helt enkelt inte.
Vad du kan göra för att skydda dig från SS7-sårbarheter
Om SS7 är allestädes närvarande, vad kan vanliga människor göra för att skydda sig? En enkel lösning är att använda säkra meddelandeappar för sms och telefonsamtal eftersom de erbjuder ett lager av skydd som saknas från traditionella SMS- och telefontjänster som stöds av SS7.
Dessa applikationer använder mycket säkrare och mer privat teknik än SS7, men om du vill gå den extra milen, överväg med en end-to-end-krypterad meddelandeapp – end-to-end-kryptering säkerställer att din kommunikation är säker från tjuvlyssning. Det finns dussintals sådana appar på marknaden, och många är helt gratis. Signal är utan tvekan den säkraste meddelandeappen tillgänglig idag, men WhatsApp är inte långt efter.
Signal är öppen källkod, har en kraftfull krypteringsalgoritm och är otroligt säker. WhatsApp, å andra sidan, är förmodligen det bästa alternativet för den som vill ha en enkel, lättanvänd app som alla känner till och redan har på sin telefon. Vissa styr dock bort från WhatsApp, eftersom det ägs av Meta (Facebook och Instagrams moderbolag), och de tror att det har integritetsproblem.
Trots uppenbara problem, kommer SS7 inte någonstans
SS7 är föråldrad och djupt defekt, men den kommer ingenstans. Åtminstone för nu finns det inget som tyder på att telekomindustrin kommer att fasa ut den. Tills SS7 ersätts med bättre, säkrare teknik, gör vad du kan för att skydda din integritet.
Visst, det är inte alltid möjligt att undvika att använda SMS eller ringa ett samtal, men att installera en kommunikationsapp med end-to-end-kryptering är en bra början. Hur som helst, att skydda sig från övervakning och andra hot kräver ett seriöst och uthålligt engagemang för digital hygien och säkerhet.