史诺登最新报料,这次中奖的是手机相关的设施,手机中的 SIM 遭骇,背后是美国情报单位 NSA 和英国情报单位 GCHQ 合作,先前科技新报也报导这起事件。如今 SIM 制造商 Gealto 展开内部调查,指出虽然 NSA 和 GCHQ 侵入他们公司内网,但对他们公司不会造成什么影响。结果 Gemalto 被不少人批评,事情一爆出来一问三不知,结果现在很快就说没事。
Gemalto 发布声明,内部调查结果以及媒体的资料,Gemalto 曾在 2010 年和 2011 年被侵入公司内网,但密钥并未被窃。如果密钥被窃的状况,并不是大家想像的那么糟,2G 的通讯可能会被监听,但是此类手法对 3G 和 4G 电信网络无效,并不会影响。
这次事件能引来轩然大波,主要是 Gemalto 供应的厂商数量及范围,Gemalto 业务遍及 85 国,包括 AT&T、T-Mobile、Verizon、Sprint 等大厂,全球共 450 家电信商。如果 NSA 与 GCHQ 有办法透过骇进 Gemalto 来监听电话的语音和数据传输,影响规模不可说不大.恐怕得换掉手机里的 SIM 卡,每年数量大约有 20 亿张左右。
▲ 史诺登提供的内部简报提及侵入 Gemalto 的事件
资安专家对 Gemalto 的说法存疑,表示资安相关的调查通常得花上数周,甚至几个月的时间。曾参与 GCHQ 侵入比利时电信案件的 Ronald Prins 表示,NSA 与其同伙 GCHQ 善于隐藏自己的足迹,不会轻易找到侵入来自 NSA 的证据。实际的侵入手法会比想像的复杂,而且还有可能状况比想像中严重,不是 Gemalto 声称的机敏资料安然无样。
由于电信业者面对来自政府的请求,多半乐于配合。NSA 以及其同伙要大费周章要骇入 SIM 卡,恐怕不是要电信通联,可能想达成更可怕的事情。资安专家表示,一旦入侵 SIM 卡,意味着将 SIM 卡当跳版,将恶意程式值入使用者手机里,绕过手机的防护机制。
因此有人说 Gemalto 这家公司的实力太谜了,能够在事情爆出来后,被媒体问到一无所知,六天后的时间就能搞清楚事件是怎么发生的。
史诺登也在 Reddit 乡民有约时间 (Ask Me Anything),回应网友的提问。其中提及他应当更早揭露情报单位的嚣张行径。
相关连结
- Gemalto Doesn’t Know What It Doesn’t Know
- No evidence of NSA and GCHQ Sim card hack, says allegedly compromised firm
- Gemalto Doesn’t Know What It Doesn’t Know
- World’s Largest SIM Card Maker Has No Clue Whether It Was Hacked by the NSA
- Gemalto says reports of its hack by the NSA and GCHQ were greatly exaggerated
- Gemalto Confirms It Was Hacked But Insists the NSA Didn’t Get Its Crypto Keys
- Edward Snowden just did a Reddit AMA. Here’s what we learned