Hacker News 中文摘要

RSS订阅

监控供应商滥用电信公司权限追踪用户位置被曝光 -- Surveillance vendors caught abusing access to telcos to track people's locations

文章摘要

研究人员发现监控服务商滥用电信运营商权限非法追踪用户手机位置,侵犯隐私。

文章总结

研究人员发现监控公司滥用电信权限追踪手机位置

核心发现

  1. 监控公司伪装成合法运营商:数字权利组织Citizen Lab最新报告披露,两家监控公司通过伪装成合法电信运营商,接入全球移动网络基础设施,非法获取目标人物的手机定位数据。

  2. 利用通信协议漏洞

    • SS7协议缺陷:攻击者利用2G/3G网络使用的SS7协议缺乏加密和认证的漏洞实施定位追踪。
    • Diameter协议隐患:尽管4G/5G采用的Diameter协议改进了安全性,但因运营商未全面部署防护措施,攻击者仍可混合利用新旧协议漏洞。
  3. 关键电信运营商牵涉其中

    • 以色列019Mobile和英国Tango Networks被多次用作监控入口;
    • 泽西岛运营商Airtel Jersey(现属Sure公司)此前亦被曝与监控活动关联。Sure公司回应称已采取防护措施,但未直接否认历史问题。

攻击手法

  • 第一类攻击:通过SS7/Diameter漏洞批量定位多国目标,研究人员认为背后存在不同政府客户。
  • 第二类攻击:向特定"高价值目标"发送隐蔽SIM卡指令(SIMjacker攻击),将手机变为追踪设备。

行业背景

  • 以色列监控企业(如NSO集团收购的Circles)长期被指控提供类似服务;
  • 研究人员指出,已发现案例仅是全球电信监控滥用的"冰山一角"。

(注:原文中与主题无关的活动宣传、网站导航栏、重复性技术术语说明等内容已精简,保留核心事实与关键细节)

评论总结

总结评论内容:

  1. 个人隐私侵犯案例

    • 有用户分享朋友被电信公司前男友追踪的经历,指出更换SIM卡和设备仍无法避免定位,且警方对此类投诉不予重视。
      引用
      "he could look up her SIM card by name... no matter what (new SIM, new phone)"
      "Anyone who reports... sounds irrational and crazy and gets ignored"
  2. 以色列监控技术的担忧

    • 部分用户认为加沙和黎巴嫩民众成为以色列监控技术的试验对象,并警告此类技术可能被广泛用于压制异议。
      引用
      "people of Gaza... are being used as guinea pigs for highly invasive surveillance"
      "Israeli-based... provider with specialized telecom capabilities"
  3. 俄罗斯监控现状的类比

    • 用户指出俄罗斯政府通过电信公司、摄像头等多渠道监控公民,数据甚至流入黑市,认为这是全球趋势。
      引用
      "data ends up available on the black market... fairly modest fee"
      "Probably inevitable to become the norm everywhere"
  4. 技术能力与质疑

    • 对以色列公司在安全漏洞和监控领域的技术优势提出疑问,同时有用户发现公民实验室报告链接失效(404)。
      引用
      "why are they good at these kind of things - security, hacks..."
      "I get a 404 when I try to view the CitizenLab report"
  5. 其他简短反应

    • 包括对事件的震惊("jesus christ!")、讽刺性表态("Color me shocked"),以及对以色列死刑政策的提及("death penalty... might get interesting")。

不同观点分布较均衡,主要围绕隐私侵犯、地缘政治监控及技术伦理展开。