在20世纪60年代中期，有进取心的黑客意识到，如果他们在电话里吹一个特殊的玩具哨子，他们就可以欺骗网络，让他们的电话免费路由到任何地方。当电话网络听到风声后，他们改变了系统的工作方式，将传送语音信号的频道与管理呼叫的频道分开。其中一个成果就是在1980年成为全球标准的7号信号系统。Ss7停止了所谓的“电话窃听”。但是，这个在只有少数几家国有电信公司时建立起来的系统，已经严重不适用于移动时代，在国际电话网络的核心留下了危险的漏洞。是时候解决这些问题了。

　　早在15年前，专家们就已经知道SS7(或者后来的一个名为Diameter的系统)可能被滥用来定位电话用户，拦截他们的文本或语音数据，或者向设备发送文本或间谍软件。俄罗斯利用SS7追踪国外的持不同政见者。2018年，阿拉伯联合酋长国被认为利用它找到并绑架了一名逃亡的公主。今年早些时候，一位美国网络安全官员告诉监管机构联邦通信委员会(FCC)，美国也发生过类似的攻击事件。

　　就像互联网一样，SS7建立在信任的基础上，而不是安全的基础上。这在协议刚推出时是合理的，因为只有少数电信公司可以访问它。今天，成千上万这样的公司可以这样做，其中绝大多数是私营的。网络的复杂性也增加了。手机从一个供应商的管辖范围漫游到另一个供应商的管辖范围，这需要一个移交。短信通常用于重要的交易:想想全球银行业的短信认证码。一个国家的供应商可以使用SS7连接到其他国家——2018年阿联酋的攻击似乎涉及到海峡群岛，监管宽松的英国领土，以及美国、喀麦隆、以色列和老挝。

　　除了使用一次性手机和戴上锡纸帽子，普通人无法完全摆脱SS7的危险。一个明智的做法是，经常使用iMessage、Signal或WhatsApp等端到端加密消息应用来发短信和打电话。公司可以确保双因素认证的代码来自应用程序，而不是很容易被拦截的短信。然而，由于手机仍然需要连接到移动网络发射塔，这些预防措施无法隐藏来电者的位置。

　　今年3月，美国联邦通信委员会(FCC)宣布，它终于在探索通过SS7和Diameter进行位置跟踪的“对策”。大多数美国大型移动运营商已经淘汰了SS7。但世界上大部分地区仍在使用它。直径仍然是脆弱的。这些系统可以通过使用检测和阻止可疑流量的过滤器来保护。然而，许多电信公司对此表示反对。原因之一是过滤在技术上很复杂，如果重要命令被阻塞，很容易出错。另一个原因是公司不愿为此付出代价。很少有人想让数据从自己的网络流向其他网络变得更困难或更昂贵。

　　这一切背后是一个集体行动的问题。如果只有少数公司处理SS7，而其他公司忽略它，那么该系统将仍然不安全。这就是各国监管机构需要介入的原因。他们回避行动的时间太长了。

　　?2024,The Economist Newspaper Limited。版权所有。摘自《经济学人》，经授权出版。原创内容可在www.economist.com上找到