电信信令层的定位追踪:SS7 与 Diameter 协议的供应链漏洞深度解析
2026 年 4 月,Citizen Lab 发布报告,揭露了两起针对全球电信基础设施的位置追踪间谍活动。这并非孤立事件,而是暴露了电信供应链中长期存在的系统性安全缺陷。监控厂商通过滥用运营商信令接口,能够在用户毫不知情的情况下获取目标的精确位置信息,其技术机制值得安全从业者深入理解并制定相应的防御策略。
SS7 协议:遗留十年的致命缺陷
Signaling System 7(SS7)是 2G 和 3G 蜂窝网络的骨干信令协议,负责全球运营商之间的通话、短信和用户位置路由。尽管该协议设计于上世纪七十年代,但其核心架构至今仍在使用。SS7 协议的关键问题在于缺乏认证机制和加密保护,任何能够接入信令网络的实体都可以发送查询请求并获取用户位置数据。
具体攻击流程通常包含以下步骤:监控方首先需要获得某个运营商信令网关的接入权限,这可以通过与运营商建立商业合作关系、实现 “幽灵” 运营商身份,或者利用特定运营商的安全配置缺陷来实现。随后,攻击者向目标用户的归属网络发送位置查询请求,常用的信令消息类型包括 Provide Subscriber Location(提供订阅者位置)和 Send Routing Information(发送路由信息)。目标运营商在收到请求后,由于缺乏有效的请求方认证流程,会直接返回目标设备的当前基站位置信息。整个过程对目标用户完全透明,不会产生任何可见的通信记录或通知。
SS7 定位的精度取决于目标设备连接的基站密度。在城市密集区域,单个基站的覆盖半径可达数百米至一公里;而在基站稀疏的农村地区,定位精度可能降低至数公里。尽管无法达到 GPS 的亚米级精度,但对于大规模监控场景而言,这种精度已经足以满足追踪目标行动轨迹的需求。
Diameter 协议的降级攻击与 fallback 机制
Diameter 是为 4G 和 5G 网络设计的后续信令协议,在安全架构上相比 SS7 有了显著改进。Diameter 引入了基于 IPsec 和 TLS 的传输层安全机制,并支持更强的消息认证功能。然而,Citizen Lab 的报告揭示了一个关键问题:许多运营商在部署 Diameter 时仍然保留了与 SS7 的向后兼容性,以便与遗留网络互联互通。这种 fallback 机制实际上构成了一个安全降级路径。
在实际的监控攻击中,攻击者通常首先尝试利用 Diameter 协议定位目标。如果目标运营商正确实现了 Diameter 的安全特性,攻击可能会失败。此时,攻击者会回退到 SS7 协议,利用其缺乏认证的缺陷完成定位。这种攻击模式被安全研究人员称为 “SS7/Diameter 混合攻击”,其成功率远高于单一协议攻击。值得注意的是,即便目标用户使用的是最先进的 5G 设备,只要其归属网络或漫游目的地网络存在 SS7 接入点,整个追踪链条就可能被打通。
SIMjacker:短信信令的深度滥用
第二起监控活动采用了一种更为隐蔽的攻击手法,即 SIMjacker 攻击。这种攻击不依赖传统的信令网络接口,而是利用 SIM 卡与设备之间的通信机制。SIM 卡本身具备执行小型应用程序的能力,称为 SIM Toolkit(STK)。运营商通常使用专用的 SMS 消息(称为 SIM OTA 消息)向 SIM 卡推送网络参数更新、运营商设置等合法指令。
SIMjacker 攻击的核心在于构造恶意的 SIM OTA 消息。监控方向目标设备发送一条特殊格式的短信,这条短信不会在用户的短信应用中显示,而是直接被 SIM 卡的 STK 运行环境接收。恶意指令可以指示 SIM 卡执行多种操作,包括查询设备的实时位置信息并将结果通过短信回传至监控方控制的服务器。由于整个攻击过程在 SIM 卡层面完成,设备的操作系统无法检测到任何异常,用户也不会收到任何通知。
这种攻击的技术特点使其极难防御。传统的信息安全监控方案通常聚焦于网络层或应用层流量,而 SIMjacker 的攻击向量位于通信栈的最底层。Gary Miller 作为此次调查的研究人员之一指出,数千起此类攻击已在多年间被观测到,表明这是一种相对常见但难以检测的监控手段。攻击者通常会针对特定国家和网络进行定向攻击,说明他们清楚哪些运营商的基础设施存在可利用的漏洞。
供应链漏洞:运营商角色的双刃剑
这两起监控活动的共同点在于都滥用了一家或多家电信运营商的信令接入权限。报告特别提及了三家被反复利用的运营商:以色列的 019Mobile、英国的 Tango Networks U.K.,以及位于海峡群岛的 Airtel Jersey(隶属于 Sure 集团)。这些运营商的共同特点是提供了所谓的 “信令转接” 服务,允许第三方通过其网络基础设施发送信令查询。
从供应链安全的角度分析,这一问题的根源在于电信行业的商业模式。运营商之间存在大量的漫游协议和信令互联需求,这些连接通常基于长期建立的信任关系。然而,当部分运营商开始向非传统客户提供信令接入服务时,整个信任链条就可能被滥用。监控厂商通过注册 “幽灵” 公司、伪装成合法的通信服务提供商,获得了接入电信网络的能力。这种商业模式使得追踪和问责变得极为困难,因为表面上这些交易可能看起来完全合法。
Sure 集团在回应媒体问询时表示,公司 “不直接向任何组织出租信令接入权限,也不会在知情的情况下将服务用于定位或追踪个人”。然而,这种事后否认并不能消除其在安全架构设计上的责任。安全研究人员早已警告,全球只有少数运营商部署了专业的信令防火墙来检测和阻止恶意位置查询,而绝大多数运营商仍然暴露在这类攻击之下。
防御参数与监控要点
针对电信信令层面的定位追踪,企业安全团队和隐私保护从业者应当考虑以下工程化参数和监控策略。
第一,部署专业的信令防火墙是 最直接的技术手段。目前市场上主流的信令防火墙解决方案包括信令探针、异常流量检测系统和 SS7/Diameter 协议过滤器。关键的配置参数包括:启用所有入站位置请求的强制认证验证、设置单用户在单位时间内的最大查询次数阈值(建议不超过 10 次 / 分钟)、对来自非归属网络的信令消息实施更严格的审查策略。
第二,对于高风险目标群体,应当考虑使用物理隔离的专用通信设备。这类设备应当禁用或限制 SIM OTA 消息的接收能力,或者采用经过安全加固的定制 SIM 卡。设备更换周期建议不超过 12 个月,以应对不断演化的攻击手法。
第三,监控和日志记录是关键的通知机制。运营商和企业安全团队应当对以下信令消息类型实施全面记录:AnyTime Interrogation(ATI)、Provide Subscriber Location(PSL)、Send Routing Information(SRI),以及所有包含位置信息参数的 Diameter AVPs。日志保留周期建议不少于 12 个月,以支持事后溯源和取证分析。
第四,对于终端用户而言,减少暴露面的最有效方法是在不使用时启用飞行模式或关闭移动数据功能。同时,定期检查设备是否有异常的后台短信发送行为,注意查看月度的运营商账单中是否存在未知的服务订阅费用,这些都可能是定位追踪的间接迹象。
结语
Citizen Lab 的报告再次证明,电信网络基础设施的安全问题并非理论风险,而是正在被大规模滥用的现实威胁。SS7 协议的遗留缺陷、Diameter 协议的 fallback 降级机制、以及 SIM 卡层面的信令滥用,构成了一个多层次的攻击面。在供应链安全日益重要的今天,运营商作为关键基础设施的守护者,其安全水位直接决定了整个生态系统的可信程度。对于安全从业者而言,理解这些底层协议的脆弱性并推动部署相应的防御机制,已经是刻不容缓的任务。
资料来源:TechCrunch 报道、Citizen Lab 2026 年研究报告