Ngay từ năm 2008, nhà nghiên cứu người Đức Tobias Engel đã đưa ra đánh giá rằng, người ta có thể xác định được vị trí của một chiếc điện thoại di động bằng cách lợi dụng lỗ hổng bảo mật SS7.
Signalling System No 7 (SS7), còn được gọi là Common Channel Signalling System 7 (CCSS7) ở Mỹ, hay Common Channel Interoffice Signaling 7 (CCIS7) ở Anh, là giao thức kết nối các mạng điện thoại di động với nhau, được phát triển từ năm 1975, khi người ta chưa quan tâm nhiều đến vấn đề bảo mật. Vì thế đã có khá nhiều lỗ hổng bảo mật của SS7 được phát hiện.
Một trong những bài trình bày công khai đầu tiên về những lỗ hổng bảo mật của SS7 là của nhà nghiên cứu người Đức Tobias Engel tại Chaos Computer Club Conference năm 2008. Bài trình bày đưa ra đánh giá, người ta có thể xác định được vị trí của một chiếc điện thoại di động bằng cách lợi dụng SS7. Tuy nhiên, vấn đề chỉ được công chúng biết tới vào năm 2013, khi Edward Snowden tiết lộ việc NSA đã lợi dụng những lỗ hổng của SS7 để theo dõi mọi người.
Tiếp đó, các nhà nghiên cứu tại AdaptiveMobile tìm hiểu sâu hơn về những vấn đề của SS7 và trình diễn cách lợi dụng chúng tại hội nghị hacker mũ trắng Chaos Communication Congress 2014. Gần đây nhất, trong chương trình “60 Minutes” ngày 17/4/2016, chuyên gia bảo mật người Đức Karsten Nohl đã theo dõi vị trí của chiếc iPhone mà nghị sỹ Mỹ Ted Lieu sử dụng, nghe lén cuộc nói chuyện điện thoại giữa ông này với phóng viên Sharyn Alfonsi. Dù vậy, họ trấn an người xem rằng các dịch vụ mã hóa end-to-end như WhatsApp vẫn an toàn. Nhưng đến nay, điều đó có lẽ không còn đúng nữa.
Các nhà nghiên cứu của Positive Technologies, một công ty bảo mật Nga, cho biết họ có thể lợi dụng những lỗ hổng trong giao thức SS7 để đọc và trả lời các tin nhắn của WhatsApp và Telegram. Đây không phải là kiểu tấn công người đứng giữa (man in the middle), thay vào đó kẻ tấn công giả danh nạn nhân và cách làm này khiến cho chức năng mã hóa của ứng dụng trở thành vô nghĩa.
Alex Mathews, giám đốc kỹ thuật EMEA của Positive Technologies giải thích rằng, các ứng dụng như WhatsApp, Telegram sử dụng SMS để xác thực người dùng, mà các tin nhắn SMS lại sử dụng các tín hiệu SS7 để truyền nhận. Xác thực dựa trên SMS là cơ chế bảo mật chính của các dịch vụ như WhatsApp, Viber, Telegram và là một phần của xác thực hai yếu tố cho các tài khoản Google, Amazon, LinkedIn.… Hệ thống xác thực hai bước của Facebook sử dụng chính ứng dụng của họ nên an toàn hơn với kiểu tấn công này.
Các dịch vụ/ứng dụng gửi tin nhắn SMS qua mạng SS7 để kiểm tra danh tính người dùng và tin tặc có thể đọc trộm để giả danh họ. Sau khi vượt qua bước xác thực, tin tặc có thể đọc và gửi các thông điệp như chính chủ nhân của các tài khoản, lịch sử của các cuộc trò chuyện cũng có thể bị truy cập nếu chúng được lưu trên máy chủ. Điều đáng lưu ý là tất cả các thử nghiệm đều được thực hiện với các thiết lập mặc định – các thiết lập được hầu hết người dùng sử dụng. Những người dùng không bật tính năng "Show Security Notifications" của WhatsApp (tính năng này được tắt theo mặc định) sẽ không thể biết mã bảo mật gốc đã bị thay đổi.
Công chúng có thể cho rằng kiểu tấn công này chỉ có thể được thực hiện bởi những nhóm tội phạm lớn hay các cơ quan tình báo. Tuy nhiên, Positive Technologies chỉ dùng một chiếc máy tính chạy Linux thông thường và SDK được công bố rộng rãi để thực hiện cuộc trình diễn của họ. Các lỗ hổng của SS7 có thể bị lợi dụng để tấn công theo nhiều cách khác nhau, bao gồm (nhưng không giới hạn) ở việc xác định vị trí thuê bao, làm gián đoạn dịch vụ của thuê bao, đọc trộm tin nhắn, giả lệnh USSD, định hướng lại cuộc gọi, nghe lén.
Các thử nghiệm của Positive Technologies cho thấy, kể cả 10 công ty viễn thông hàng đầu cũng vẫn có thể bị tấn công qua các lỗ hổng đó. Các nhà cung cấp dịch vụ viễn thông cần tăng cường các biện pháp bảo mật, ngăn chặn tin tặc can thiệp vào các kênh giao tiếp; các công ty cung cấp dịch vụ nhắn tin kiểu WhatsApp thì cần bổ sung thêm một lớp xác thực người dùng.
Tuy nhiên, trong điều kiện bình thường (khác với các thử nghiệm của Positive Technologies) không dễ để truy cập vào hệ thống SS7 của các công ty viễn thông. Nhưng với khoảng 800 công ty viễn thông khác nhau trên toàn thế giới, tin tặc rất có thể sẽ tìm ra một vài đối tượng yếu hơn để tấn công. Và một khi chúng đã xâm nhập được vào hệ thống thì SS7 sẽ không kiểm tra gì đối với các lệnh được sử dụng.
