Công nghệ lỗi thời này đang gây nguy hiểm cho bảo mật của bạn nhưng bạn vẫn sử dụng nó hàng ngày
Bài học chính
Hệ thống báo hiệu số 7, còn được gọi là SS7, là một giao thức viễn thông kế thừa đã bị các công nghệ tiên tiến hơn vượt qua. Tuy nhiên, bất chấp sự cổ xưa của nó, hệ thống này vẫn được sử dụng rộng rãi trên khắp các mạng điện thoại trên thế giới. Thật không may, do có nhiều lỗ hổng khác nhau vốn có trong SS7, nó gây ra rủi ro đáng kể đối với quyền riêng tư cá nhân, có khả năng cho phép tin tặc và các tác nhân độc hại khác chặn thông tin nhạy cảm hoặc thậm chí nghe lén các cuộc trò chuyện. Do đó, các chuyên gia khuyên bạn nên ngừng phụ thuộc vào SS7 và chuyển sang các lựa chọn thay thế an toàn hơn để bảo vệ dữ liệu cá nhân khỏi những con mắt tò mò.
Việc khai thác lỗ hổng Hệ thống tín hiệu số 7 (SS7) đã tạo điều kiện cho các hoạt động tội phạm như rút tiền tài khoản ngân hàng, theo dõi người dùng điện thoại di động theo lệnh của chính phủ và thực hiện các hoạt động giám sát toàn cầu thông qua các cơ quan tình báo.
Để bảo vệ thông tin của bạn trước các mối đe dọa tiềm ẩn do lỗ hổng SS7 gây ra, bạn nên sử dụng các ứng dụng liên lạc an toàn có tính năng mã hóa hai đầu như Signal hoặc WhatsApp, vì những nền tảng này cung cấp mức độ riêng tư và bảo mật mạnh mẽ hơn so với các nền tảng khác. với các dịch vụ nhắn tin văn bản và điện thoại thông thường.
Hệ thống tín hiệu số 7 (SS7) có thể là một khái niệm xa lạ với nhiều người; tuy nhiên, việc sử dụng nó trong xã hội nói chung vẫn còn phổ biến. Đáng tiếc, công nghệ lỗi thời này gây ra rủi ro bảo mật đáng kể cho người dùng và cộng sự của họ. May mắn thay, hiện có các giải pháp thay thế cung cấp chức năng tương đương mà không ảnh hưởng đến độ an toàn và các tùy chọn này được cung cấp miễn phí.
SS7 là gì và tại sao nó không an toàn?
Hệ thống báo hiệu số 7 (SS7) tạo thành một tập hợp các giao thức điện thoại tạo điều kiện thuận lợi cho khả năng tương tác giữa các mạng viễn thông bằng cách cho phép chúng trao đổi thông tin quan trọng. Về cơ bản, SS7 đóng vai trò là cơ sở hạ tầng truyền thông phức tạp cho phép truyền thoại và dữ liệu liền mạch trên các kiến trúc mạng đa dạng. Do đó, người dùng cuối có thể truy cập các dịch vụ viễn thông khác nhau như gọi điện thoại và gửi tin nhắn văn bản giữa những người khác.
Việc triển khai SS7 bắt đầu trong mạng AT&T ở Hoa Kỳ vào những năm 1970. Sau đó, hệ thống này đã được quốc tế công nhận như một tiêu chuẩn, sau đó loại bỏ dần các mạng lỗi thời ở nhiều quốc gia khác nhau. Đến những năm 1990, SS7 đã phát triển rộng rãi và nổi lên như nền tảng chính của cơ sở hạ tầng viễn thông toàn cầu.
Sự ra đời của ID người gọi, Chuyển tiếp cuộc gọi và Dịch vụ nhắn tin ngắn (SMS) trong những năm 1990 được tạo điều kiện thuận lợi nhờ sự mở rộng toàn cầu của mạng di động, với việc tích hợp SS7 đóng vai trò then chốt trong sự phát triển này. Việc triển khai rộng rãi các công nghệ này đã có tác động sâu sắc đến xã hội đương đại, cho phép liên lạc liền mạch giữa các nhà cung cấp dịch vụ khác nhau thông qua tin nhắn SMS.
Hệ thống báo hiệu số 7 (SS7) đã lỗi thời và không an toàn, có từ thời trước khi các mối đe dọa an ninh mạng hiện đại tồn tại. Những thiếu sót của hệ thống này đã rõ ràng ít nhất là từ giữa những năm 2000 và tiếp tục xấu đi theo thời gian. Cần lưu ý rằng những lo ngại này không dựa trên phỏng đoán hay ý kiến chủ quan mà xuất phát từ những điểm yếu cơ bản trong chính SS7.
Lỗ hổng SS7 làm lộ quyền riêng tư của bạn như thế nào
Sự phổ biến của các công nghệ tiên tiến và tỷ lệ tội phạm mạng ngày càng gia tăng đã đặt ra những thách thức đáng kể cho SS7, khi SS7 cố gắng duy trì tính hiệu quả của mình trong bối cảnh các mối đe dọa đang phát triển nhanh chóng. Trong thời gian gần đây, nhiều trường hợp vi phạm an ninh đáng chú ý đã được ghi nhận trên nhiều khu vực địa lý khác nhau, nhấn mạnh các lỗ hổng đang diễn ra liên quan đến giao thức truyền thông này.
Ví dụ, vào năm 2017, một nhóm tội phạm chưa rõ danh tính đã lợi dụng lỗ hổng bảo mật trên SS7 để rút tiền từ tài khoản ngân hàng của mọi người. Họ đã làm điều này bằng cách bỏ qua xác thực hai yếu tố mà một số ngân hàng nhất định sử dụng để ngăn chặn truy cập trái phép và bảo vệ khách hàng, theo Ars Technica. Vào thời điểm đó, đại diện Quốc hội Hoa Kỳ Ted Lieu đã kêu gọi chính phủ liên bang khắc phục những sai sót “tàn khốc” này, nói rằng việc FCC và ngành viễn thông đã không hành động sớm hơn để bảo vệ quyền riêng tư và an ninh tài chính của chúng ta là “không thể chấp nhận được”.
Tương tự, The Washington Post đã báo cáo vào năm 2014 rằng lỗ hổng SS7 cho phép các tổ chức chính phủ theo dõi người dùng điện thoại di động trong thời gian thực. Một người trong cuộc nói với hãng này rằng “hàng chục” quốc gia đang thực hiện việc này, trong khi các chuyên gia bảo mật lưu ý rằng không có gì ngăn cản các nhóm tin tặc và các tổ chức tương tự làm điều tương tự. Vào năm 2020, một người tố cáo đã tiết lộ rằng Ả Rập Xê Út đang khai thác những lỗ hổng tương tự này để theo dõi công dân của họ ở Hoa Kỳ, theo The Guardian.
Năm 2020 Haaretz.
Lưu ý đến mức độ nghiêm trọng của vấn đề, điều quan trọng là phải thừa nhận rằng SS7 gây ra rủi ro bảo mật đáng kể do tính dễ bị khai thác. Do đó, việc sử dụng SMS làm phương tiện để đảm bảo quyền riêng tư có thể không được khuyến khích vì bất kỳ tin nhắn nào được truyền qua phương tiện này đều có khả năng bị các cơ quan chức năng hoặc cá nhân có đủ trình độ kỹ thuật chặn và xem xét kỹ lưỡng.
Nhưng câu hỏi thực sự là: tại sao không có biện pháp nào được thực hiện để giải quyết các lỗ hổng SS7? Các nhà cung cấp dịch vụ và mạng di động chắc chắn biết về chúng; các chuyên gia bảo mật đã biết về chúng từ lâu, cũng như các chính trị gia. Trên thực tế, một số người đã nói chuyện cởi mở về họ, như Lieu, và kêu gọi các cơ quan quản lý hành động. Tuy nhiên, không có gì thay đổi. Khi The Register báo cáo về điều này, họ kết luận rằng “có lẽ các cơ quan tình báo của Mỹ thích ý tưởng về các mạng dễ bị xâm phạm đối với họ”.
Mặc dù điều quan trọng là phải thừa nhận rằng giả thuyết được đề xuất đưa ra cách giải thích hợp lý về vấn đề hiện tại, nhưng cũng phải nhấn mạnh rằng chỉ riêng lời giải thích cụ thể này có thể không giải quyết được đầy đủ câu hỏi. Chữ ký hệ thống 7 đại diện cho một hệ thống lỗi thời và bất kỳ nỗ lực nào nhằm thực hiện những thay đổi đáng kể đều cần có sự hợp tác quốc tế rộng rãi cũng như sự phát triển và tích hợp các giải pháp công nghệ tiên tiến. Những nỗ lực như vậy chắc chắn sẽ đòi hỏi nguồn lực đáng kể cả về thời gian và tài chính, khiến động lực thực hiện các biện pháp đó là không đủ.
Bạn có thể làm gì để bảo vệ bản thân khỏi các lỗ hổng SS7
Trước việc SS7 được sử dụng rộng rãi, các cá nhân có thể bảo vệ quyền riêng tư của mình thông qua các phương tiện thay thế như thế nào? Một chiến lược thực tế bao gồm việc sử dụng các ứng dụng liên lạc được mã hóa để trao đổi tin nhắn và thực hiện các cuộc trò chuyện bằng giọng nói, vì các nền tảng này cung cấp mức độ bảo mật bổ sung không có sẵn trong các hệ thống điện thoại và SMS thông thường dựa trên SS7.
Các phương thức liên lạc thay thế này sử dụng các công nghệ mạnh mẽ và bí mật hơn SS7, mặc dù để bảo vệ tối đa, người ta có thể chọn nền tảng nhắn tin được mã hóa hai đầu để đảm bảo rằng các tương tác của bạn không bị lọt vào những con mắt tò mò. Bạn có thể tìm thấy vô số ứng dụng này miễn phí, trong đó Signal được nhiều người coi là hình ảnh thu nhỏ về bảo mật trong các giải pháp nhắn tin hiện có thể truy cập được. Tuy nhiên, phải thừa nhận rằng WhatsApp cũng sở hữu mức độ an toàn đáng khen ngợi.
Signal cung cấp nền tảng nguồn mở với khả năng mã hóa mạnh mẽ, đảm bảo các biện pháp bảo mật đặc biệt. Ngược lại, WhatsApp phục vụ người dùng đang tìm kiếm một ứng dụng thân thiện với người dùng, được biết đến rộng rãi và được cài đặt sẵn trên các thiết bị. Mặc dù nhiều cá nhân thích WhatsApp vì tính tiện lợi của nó, nhưng những người khác lại tránh nó vì lo ngại về việc bảo vệ dữ liệu, do Meta Corporation, công ty cũng sở hữu Facebook và Instagram, sở hữu.
Bất chấp những vấn đề rõ ràng, SS7 vẫn không đi đến đâu
Mặc dù SS7 vẫn là một hệ thống lỗi thời và vốn có nhiều khiếm khuyết nhưng việc ngừng hoạt động của nó dường như chưa xảy ra. Tính đến thời điểm hiện tại, không có bằng chứng nào cho thấy ngành viễn thông sẽ có sự thay thế sắp tới. Do đó, cho đến khi xuất hiện một giải pháp thay thế ưu việt và mạnh mẽ hơn, các biện pháp thận trọng phải được thực hiện để bảo vệ quyền riêng tư của một người.
Mặc dù có thể có những trường hợp không thể tránh khỏi việc sử dụng tin nhắn văn bản hoặc cuộc gọi điện thoại, nhưng việc triển khai một ứng dụng cung cấp khả năng liên lạc được mã hóa hai đầu sẽ là một bước khởi đầu thận trọng. Tuy nhiên, việc bảo vệ bản thân khỏi sự giám sát và các mối nguy hiểm khác nhau đòi hỏi sự cống hiến đáng kể và bền bỉ trong việc duy trì sự sạch sẽ và an toàn kỹ thuật số.