Về khía cạnh an ninh, mức độ bảo mật của bạn chỉ tương đương với liên kết
yếu nhất. Engel và Nohl phát hiện ra rằng tuy các nước phát triển ở Bắc Mỹ
và châu Âu đã đầu tư hàng tỉ đô-la để xây dựng các mạng 3G và 4G tương
đối an toàn và riêng tư, song họ vẫn phải sử dụng SS7 làm giao thức nền
tảng.
SS7 xử lý quá trình thực hiện các chức năng thiết lập cuộc gọi, tính cước
phí, định tuyến, và trao đổi thông tin. Điều đó có nghĩa là nếu tiếp cận được
SS7, bạn có thể điều khiển được cuộc gọi. SS7 cho phép kẻ tấn công sử
dụng một nhà mạng nhỏ, giả dụ ở Nigeria, để truy cập các cuộc gọi được
thực hiện ở châu Âu hoặc Mỹ. Engel nói: “Điều này giống như việc bạn bảo
vệ cửa trước của ngôi nhà, nhưng lại để ngỏ cửa hậu vậy.”
Hai nhà nghiên cứu trên đã thử nghiệm một phương pháp trong đó kẻ tấn
công sử dụng chức năng chuyển tiếp cuộc gọi và SS7 để chuyển tiếp các
cuộc gọi đi của mục tiêu cho hắn trước khi thực hiện cuộc gọi hội nghị (gọi
ba chiều) với người nhận.
Sau khi tiếp cận được, kẻ tấn công có thể nghe tất cả các cuộc gọi do nạn
nhân thực hiện từ bất cứ đâu trên thế giới.
Một cách khác là kẻ tấn công thiết lập ăng-ten vô tuyến để thu thập tất cả
các cuộc gọi và tin nhắn di động thực hiện trong một khu vực. Với các cuộc
gọi 3G mã hóa, hắn có thể yêu cầu SS7 cung cấp khóa giải mã.
“Tất cả đều được thực hiện tự động, chỉ cần một nút bấm,” Nohl nói. “Tôi
nghĩ việc ghi lại và giải mã hầu như bất kỳ mạng lưới nào là một khả năng
gián điệp hoàn hảo... Cách này phát huy hiệu quả với mọi mạng lưới mà
chúng tôi đã thử nghiệm.” Sau đó, ông liệt kê ra tổng cộng khoảng 20 nhà
mạng lớn ở Bắc Mỹ và châu Âu.
Nohl và Engel cũng thấy rằng họ có thể định vị bất kỳ người dùng điện thoại
di động nào bằng cách sử dụng một hàm SS7 gọi là anytime interrogation
query (truy vấn bất kỳ lúc nào). Nhưng tính năng này đã bị hủy bỏ từ đầu
năm 2015. Tuy nhiên, vì tất cả các nhà mạng đều phải theo dõi người dùng
để cung cấp dịch vụ, nên SS7 vẫn có các chức năng khác cho phép thực hiện
